Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Det här avsnittet beskriver de steg som krävs för att uppgradera en befintlig skog eller domän till Windows Server 2012 med hjälp av antingen Serverhanteraren eller Windows PowerShell. Den beskriver hur du lägger till domänkontrollanter som kör Windows Server 2012 till en befintlig domän.
Uppgradera och replikera arbetsflöde
Följande diagram illustrerar konfigurationsprocessen för Active Directory Domain Services när du tidigare installerade AD DS-rollen och du har startat konfigurationsguiden för Active Directory Domain Services med hjälp av Serverhanteraren för att skapa en ny domänkontrollant i en befintlig domän.
Uppgradera och replikera Windows PowerShell
| ADDSDeployment Cmdlet | Argument (fetstilsargument krävs. Kursiv argument kan anges med hjälp av Windows PowerShell eller guiden AD DS-konfiguration.) |
|---|---|
| Install-AddsDomainController | -SkipPreChecks -DomainName -SafeModeAdministratorPassword -SiteName -ADPrepCredential -ApplicationPartitionsToReplicate -AllowDomainControllerReinstall -Confirm -CreateDNSDelegation -Credential -CriticalReplicationOnly -DatabasePath -DNSDelegationCredential -Force -InstallationMediaPath -InstallDNS -LogPath -MoveInfrastructureOperationMasterRoleIfNecessary -NoDnsOnNetwork -NoGlobalCatalog -Norebootoncompletion -ReplicationSourceDC -SkipAutoConfigureDNS -SiteName -SystemKey -SYSVOLPath -UseExistingAccount -Whatif |
Note
Argumentet -credential krävs bara om du inte redan är inloggad som medlem i grupperna Företagsadministratörer och Schemaadministratörer (om du uppgraderar skogen) eller gruppen Domänadministratörer (om du lägger till en ny domänkontrollant i en befintlig domän).
Deployment
Distributionskonfiguration
Serverhanteraren påbörjar varje befordran av domänkontrollanter med sidan Distributionskonfiguration . Återstående alternativ och obligatoriska fält ändras på den här sidan och efterföljande sidor, beroende på vilken distributionsåtgärd du väljer.
Om du vill uppgradera en befintlig skog eller lägga till en skrivbar domänkontrollant i en befintlig domän klickar du på Lägg till en domänkontrollant i en befintlig domän och klickar på Väljför att ange domäninformation för den här domänen. Serverhanteraren uppmanar dig att ange giltiga autentiseringsuppgifter om det behövs.
Uppgradering av skogen kräver autentiseringsuppgifter som innehåller gruppmedlemskap i grupperna Företagsadministratörer och Schemaadministratörer i Windows Server 2012. Konfigurationsguiden för Active Directory Domain Services frågar dig senare om dina aktuella autentiseringsuppgifter inte har tillräckliga behörigheter eller gruppmedlemskap.
Den automatiska Adprep-processen är den enda operativa skillnaden mellan att lägga till en domänkontrollant i en befintlig Windows Server 2012-domän och en domän där domänkontrollanter kör en tidigare version av Windows Server.
Kommandot ADDSDeployment för distributionskonfiguration och dess argument är:
Install-AddsDomainController
-domainname <string>
-credential <pscredential>
Vissa tester utförs på varje sida, varav vissa upprepas senare som diskreta kravkontroller. Om den valda domänen till exempel inte uppfyller de minimala funktionsnivåerna behöver du inte gå hela vägen genom befordran till den nödvändiga kontrollen för att ta reda på följande:
Alternativ för domänkontrollant
Sidan Alternativ för domänkontrollant anger domänkontrollantens funktioner för den nya domänkontrollanten. De konfigurerbara domänkontrollantfunktionerna är DNS-server, global katalog och skrivskyddad domänkontrollant. Microsoft rekommenderar att alla domänkontrollanter tillhandahåller DNS- och GC-tjänster för hög tillgänglighet i distribuerade miljöer. GC är alltid markerat som standard och DNS-servern är markerad som standard om den aktuella domänen redan är värd för DNS på sina domänkontrollanter baserat på frågan Start of Authority. På sidan Alternativ för domänkontrollant kan du också välja det lämpliga logiska platsnamnet för Active Directory från konfigurationen i skogen. Som standard väljer den platsen med det mest korrekta undernätet. Om det bara finns en webbplats, väljs den automatiskt.
Note
Om servern inte tillhör ett Active Directory-undernät och det finns fler än en Active Directory-plats väljs ingenting och knappen Nästa är inte tillgänglig förrän du väljer en plats i listan.
Det angivna lösenordet för återställningsläge för Katalogtjänster måste följa den lösenordsprincip som tillämpas på servern. Välj alltid ett starkt, komplext lösenord eller helst en lösenfras.
ADDSDeployment-argumenten för Domänkontrollantalternativ är:
-InstallDNS <{$false | $true}>
-NoGlobalCatalog <{$false | $true}>
-sitename <string>
-SafeModeAdministratorPassword <secure string>
Important
Platsnamnet måste redan finnas när det anges som ett argument till -sitename. Cmdleten install-AddsDomainController skapar inte platser. Du kan använda cmdleten new-adreplicationsite för att skapa nya webbplatser.
SafeModeAdministratorPassword-argumentets åtgärd är speciell:
Om det inte anges som ett argument uppmanar cmdleten dig att ange och bekräfta ett maskerat lösenord. Det här är den bästa användningen när du kör cmdleten interaktivt.
Om du till exempel vill skapa ytterligare en domänkontrollant i treyresearch.net domän och uppmanas att ange och bekräfta ett maskerat lösenord:
Install-ADDSDomainController "DomainName treyresearch.net "credential (get-credential)Om värdet anges med ett värde måste det vara en säker sträng. Det här är inte den bästa användningen när du kör cmdleten interaktivt.
Du kan till exempel manuellt fråga efter ett lösenord med hjälp av cmdleten Read-Host för att fråga användaren om en säker sträng:
-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)
Warning
Eftersom det föregående alternativet inte bekräftar lösenordet bör du vara mycket försiktig: lösenordet är inte synligt.
Du kan också ange en säker sträng som en konverterad klartextvariabel, även om detta inte rekommenderas.
-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
Slutligen kan du lagra det fördunklade lösenordet i en fil och sedan återanvända det senare, utan att lösenordet för klartext någonsin visas. Till exempel:
$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Warning
Du rekommenderas inte att ange eller lagra ett tydligt eller fördunkkat textlösenord. Alla som kör det här kommandot i ett skript eller som tittar över axeln känner till DSRM-lösenordet för domänkontrollanten. Alla som har åtkomst till filen kan ångra det fördunklade lösenordet. Med den kunskapen kan de logga på en domänkontrollant som startats i DSRM och så småningom utge sig för att vara själva domänkontrollanten, vilket höjer deras behörigheter till den högsta nivån i en Active Directory-skog. Ytterligare en uppsättning steg som använder System.Security.Cryptography för att kryptera textfildata är tillrådligt men utanför omfånget. Det bästa sättet är att helt undvika lösenordslagring.
Cmdleten ADDSDeployment erbjuder ytterligare ett alternativ för att hoppa över automatisk konfiguration av DNS-klientinställningar, vidarebefordrare och rottips. Du kan inte hoppa över det här konfigurationsalternativet när du använder Serverhanteraren. Det här argumentet spelar bara roll om du har installerat DNS-serverrollen innan du konfigurerar domänkontrollanten:
-SkipAutoConfigureDNS
Sidan Alternativ för domänkontrollant ger en varning om att du inte kan skapa skrivskyddade domänkontrollanter om dina befintliga domänkontrollanter kör Windows Server 2003. Detta är förväntat och du kan ignorera varningen.
DNS-alternativ och autentiseringsuppgifter för DNS-delegering
På sidan DNS-alternativ kan du konfigurera DNS-delegering om du har valt ALTERNATIVET DNS-server på sidan Alternativ för domänkontrollant och om du pekar på en zon där DNS-delegeringar tillåts. Du kan behöva ange alternativa autentiseringsuppgifter för en användare som är medlem i gruppen DNS-administratörer .
Cmdlet-argumenten FÖR DNS-alternativ ADDSDeployment är:
-creatednsdelegation
-dnsdelegationcredential <pscredential>
Mer information om huruvida du behöver skapa en DNS-delegering finns i Förstå zondelegering.
Ytterligare alternativ
Sidan Ytterligare alternativ innehåller konfigurationsalternativet för att namnge en domänkontrollant som replikeringskälla, eller så kan du använda valfri domänkontrollant som replikeringskälla.
Du kan också välja att installera domänkontrollanten med hjälp av säkerhetskopierade medier med hjälp av alternativet Installera från media (IFM). Kryssrutan Installera från media ger ett alternativ att bläddra när den är markerad, och du måste klicka på Verifiera för att säkerställa att den angivna sökvägen är giltig media. Media som används av IFM-alternativet skapas med Windows Server Backup eller Ntdsutil.exe från en annan befintlig Windows Server 2012-dator. Du kan inte använda en Windows Server 2008 R2 eller tidigare operativsystem för att skapa media för en Windows Server 2012-domänkontrollant. Mer information om ändringar i IFM finns i tillägget Förenklad administration. Om du använder media som skyddas med en SYSKEY frågar Serverhanteraren efter avbildningens lösenord under verifieringen.
Argumenten additional options ADDSDeployment cmdlet är:
-replicationsourcedc <string>
-installationmediapath <string>
-syskey <secure string>
Paths
På sidan Sökvägar kan du åsidosätta standardmappplatserna för AD DS-databasen, databastransaktionsloggarna och SYSVOL-resursen. Standardplatserna finns alltid i underkataloger för %systemroot%.
Cmdlet-argumenten för Active Directory Paths ADDSDeployment är:
-databasepath <string>
-logpath <string>
-sysvolpath <string>
Förberedelsealternativ
Sidan Förberedelsealternativ varnar dig om att AD DS-konfigurationen omfattar att utöka schemat (forestprep) och uppdatera domänen (domainprep). Du ser bara den här sidan när skogen och domänen inte har förberetts av tidigare installation av domänkontrollanten för Windows Server 2012 eller genom att manuellt köra Adprep.exe. Konfigurationsguiden för Active Directory Domain Services utelämnar till exempel den här sidan om du lägger till en ny domänkontrollant i en befintlig rotdomän för Windows Server 2012-skogen.
Det går inte att utöka schemat och uppdatera domänen när du klickar på Nästa. Dessa händelser inträffar endast under installationsfasen. Den här sidan ger helt enkelt information om de händelser som kommer att inträffa senare i installationen.
Den här sidan verifierar också att de aktuella användarautentiseringsuppgifterna är medlemmar i grupperna Schemaadministratör och Företagsadministratörer, eftersom du behöver medlemskap i dessa grupper för att utöka schemat eller förbereda en domän. Klicka på Ändra för att ange lämpliga användarautentiseringsuppgifter om sidan informerar dig om att de aktuella autentiseringsuppgifterna inte ger tillräcklig behörighet.
Det ytterligare alternativet ADDSDeployment cmdlet-argumentet är:
-adprepcredential <pscredential>
Important
Precis som med tidigare versioner av Windows Server kör inte automatisk domänförberedelse för domänkontrollanter som kör Windows Server 2012 GPPREP. Kör adprep.exe /gpprep manuellt för alla domäner som inte tidigare förberetts för Windows Server 2003, Windows Server 2008 eller Windows Server 2008 R2. Du bör bara köra GPPrep en gång i historiken för en domän, inte vid varje uppgradering. Adprep.exe kör inte /gpprep automatiskt eftersom åtgärden kan leda till att alla filer och mappar i SYSVOL-mappen replikeras igen på alla domänkontrollanter.
Automatisk RODCPrep körs när du höjer upp den första olagrade RODC i en domän. Det inträffar inte när du höjer upp den första skrivbara Windows Server 2012-domänkontrollanten. Du kan också fortfarande adprep.exe /rodcprep manuellt om du planerar att distribuera skrivskyddade domänkontrollanter.
Granska alternativ och visa skript
På sidan Granskningsalternativ kan du verifiera inställningarna och se till att de uppfyller dina krav innan du startar installationen. Det här är inte den sista möjligheten att stoppa installationen med hjälp av Serverhanteraren. På den här sidan kan du bara granska och bekräfta inställningarna innan du fortsätter konfigurationen.
Sidan Granskningsalternativ i Serverhanteraren innehåller också en valfri visa skriptknapp för att skapa en Unicode-textfil som innehåller den aktuella ADDSDeployment-konfigurationen som ett enda Windows PowerShell-skript. På så sätt kan du använda det grafiska gränssnittet serverhanteraren som en Windows PowerShell-distributionsstudio. Använd konfigurationsguiden för Active Directory Domain Services för att konfigurera alternativ, exportera konfigurationen och sedan avbryta guiden. Den här processen skapar ett giltigt och syntaktiskt korrekt exempel för ytterligare ändring eller direkt användning.
Till exempel:
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSDomainController `
-CreateDNSDelegation `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainName "root.fabrikam.com" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-SiteName "Default-First-Site-Name" `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true
Note
Serverhanteraren fyller vanligtvis i alla argument med värden vid befordran och förlitar sig inte på standardvärden (eftersom de kan ändras mellan framtida versioner av Windows eller Service Pack). Det enda undantaget är argumentet -safemodeadministratorpassword . Om du vill framtvinga en bekräftelsefråga utelämnar du värdet när du kör cmdleten interaktivt
Använd det valfria Whatif-argumentet med cmdleten Install-ADDSDomainController för att granska konfigurationsinformationen. På så sätt kan du se de explicita och implicita värdena för argumenten för en cmdlet.
Kravkontroll
Kravkontrollen är en ny funktion i AD DS-domänkonfigurationen. Den här nya fasen verifierar att domänen och skogen kan stödja en ny Windows Server 2012-domänkontrollant.
När du installerar en ny domänkontrollant anropar konfigurationsguiden för Server Manager Active Directory Domain Services en serie serialiserade modulära tester. De här testerna varnar dig med föreslagna reparationsalternativ. Du kan köra testerna så många gånger som krävs. Domänkontrollantprocessen kan inte fortsätta förrän alla nödvändiga tester har godkänts.
Kravkontrollen innehåller också relevant information, till exempel säkerhetsändringar som påverkar äldre operativsystem.
Mer information om de specifika nödvändiga kontrollerna finns i Kravkontroll.
Du kan inte kringgå kravkontrollen när du använder Serverhanteraren, men du kan hoppa över processen när du använder cmdleten AD DS Deployment med hjälp av följande argument:
-skipprechecks
Warning
Microsoft avråder från att hoppa över den nödvändiga kontrollen eftersom det kan leda till en partiell befordran av domänkontrollanter eller skadad AD DS-skog.
Klicka på Installera för att påbörja befordran av domänkontrollant. Det här är sista möjligheten att avbryta installationen. Du kan inte avbryta befordran när den väl har påbörjats. Datorn startas om automatiskt i slutet av befordran, oavsett kampanjresultat. Sidan Kravkontroll visar eventuella problem som påträffades under processen och vägledning för att lösa problemet.
Installation
När sidan Installation visas börjar konfigurationen av domänkontrollanten och kan inte stoppas eller avbrytas. Detaljerade åtgärder visas på den här sidan och skrivs till loggar:
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
%systemroot%\debug\adprep\logs
%systemroot%\debug\netsetup.log (om servern finns i en arbetsgrupp)
Om du vill installera en ny Active Directory-skog med modulen ADDSDeployment använder du följande cmdlet:
Install-addsdomaincontroller
Se Uppgradera och replikera Windows PowerShell för obligatoriska och valfria argument.
Cmdleten Install-AddsDomainController har bara två faser (kravkontroll och installation). De två siffrorna nedan visar installationsfasen med de minsta obligatoriska argumenten -domainname och -credential. Observera hur Adprep-åtgärden sker automatiskt som en del av att lägga till den första Windows Server 2012-domänkontrollanten i en befintlig Windows Server 2003-skog:
Observera hur Install-ADDSDomainController precis som Serverhanteraren påminner dig om att befordran startar om servern automatiskt. Om du vill acceptera omstartsprompten automatiskt använder du argumenten -force eller -confirm:$false med valfri ADDSDeployment Windows PowerShell-cmdlet. Om du vill förhindra att servern startas om automatiskt i slutet av befordran använder du argumentet -norebootoncompletion .
Warning
Det rekommenderas inte att åsidosätta omstarten. Domänkontrollanten måste startas om för att fungera korrekt.
Om du vill konfigurera en domänkontrollant via en fjärranslutning med Windows PowerShell omsluter du cmdleten install-addsdomaincontrolleri cmdleten invoke-command . Detta kräver att du använder klammerparenteserna.
invoke-command {install-addsdomaincontroller "domainname <domain> -credential (get-credential)} -computername <dc name>
Till exempel:
Note
Mer information om hur installationen och Adprep-processen fungerar finns i Felsöka distribution av domänkontrollant.
Results
Sidan Resultat visar lyckade eller misslyckade kampanjer och viktig administrativ information. Om det lyckas startas domänkontrollanten automatiskt om efter 10 sekunder.
Precis som med tidigare versioner av Windows Server kör inte automatisk domänförberedelse för domänkontrollanter som kör Windows Server 2012 GPPREP. Kör adprep.exe /gpprep manuellt för alla domäner som inte tidigare förberetts för Windows Server 2003, Windows Server 2008 eller Windows Server 2008 R2. Du bör bara köra GPPrep en gång i historiken för en domän, inte vid varje uppgradering. Adprep.exe kör inte /gpprep automatiskt eftersom åtgärden kan leda till att alla filer och mappar i SYSVOL-mappen replikeras igen på alla domänkontrollanter.