Installera en Windows Server 2012 Active Directory Read-Only Domänkontrollant (RODC) (nivå 200)

Den här artikeln beskriver hur du skapar ett mellanlagrat RODC-konto och sedan kopplar en server till kontot under RODC-installationen. Den här artikeln beskriver också hur du installerar en RODC utan att utföra en mellanlagrad installation.

Steg RODC-arbetsflöde

En mellanlagrad installation av skrivskyddad domänkontrollant (RODC) fungerar i två diskreta faser:

1. Mellanlagring av ett obemannat datorkonto

2. Koppla en RODC till det kontot under uppgradering

Följande diagram illustrerar stagingprocessen för Active Directory-domänkontrollanttjänster Read-Only, där du skapar ett tomt RODC-datorkonto i domänen med hjälp av Active Directory administrationscenter (Dsac.exe).

Steg RODC Windows PowerShell

Bifoga RODC-arbetsflöde

Diagrammet nedan illustrerar konfigurationsprocessen för Active Directory Domain Services, där du redan har installerat AD DS-rollen, du mellanlagrade RODC-kontot och startade Flytta upp den här servern till en domänkontrollant med serverhanteraren för att skapa en ny RODC i en befintlig domän och koppla den till det mellanlagrade datorkontot.

Bifoga RODC Windows PowerShell

Staging

Du utför mellanlagringsåtgärden för ett skrivskyddat domänkontrollantdatorkonto genom att öppna Active Directory Administrationscenter (Dsac.exe). Välj namnet på domänen i navigeringsfönstret. Dubbelklicka på Domänkontrollanter i hanteringslistan. Välj Skapa ett skrivskyddat domänkontrollantkonto i åtgärdsfönstret i förväg.

Mer information om Active Directory Administrationscenter finns i Avancerad AD DS-hantering med Hjälp av Active Directory Administrationscenter (nivå 200) och granska Active Directory Administrationscenter: Komma igång.

Om du har erfarenhet av att skapa skrivskyddade domänkontrollanter kommer du att upptäcka att installationsguiden har samma grafiska gränssnitt som när du använder den äldre Active Directory Users and Computers snapin-modulen från Windows Server 2008; den använder samma kod, vilket innefattar att exportera konfigurationen till det obevakade filformat som användes av det föråldrade dcpromo.

Windows Server 2012 introducerar en ny ADDSDeployment-cmdlet för att stegvis upprätta RODC-datorkonton, men guiden använder inte cmdleten för dess åtgärd. Följande avsnitt visar motsvarande cmdlet och argument för att göra informationen som är associerad med var och en lättare att förstå.

Länken Förskapa ett skrivskyddat domänkontrollantkonto i åtgärdsfönstret i Active Directory Administrationscenter motsvarar WINDOWS PowerShell-cmdleten ADDSDeployment:

Add-addsreadonlydomaincontrolleraccount

Welcome

Dialogrutan Välkommen till installationsguiden för Active Directory Domain Services har ett alternativ med namnet Använd installation i avancerat läge. Välj det här alternativet och välj Nästa för att visa principalternativ för lösenordsreplikering. Avmarkera det här alternativet om du vill använda standardvärdena för alternativ för lösenordsreplikeringsprinciper (detta beskrivs mer detaljerat senare i det här avsnittet).

Autentiseringsuppgifter för nätverk

Alternativet domännamn i dialogrutan Autentiseringsuppgifter för nätverk visar domänen som är mål för Active Directory Administrationscenter som standard. Dina aktuella autentiseringsuppgifter används som standard. Om de inte inkluderar medlemskap i gruppen Domänadministratörer väljer du Alternativa autentiseringsuppgifter och väljer Ange för att ge guiden ett användarnamn och lösenord som är medlem i domänadministratörer.

Motsvarande ADDSDeployment Windows PowerShell-argument är:

-credential <pscredential>

Tänk på att mellanlagringssystemet är en direktport från Windows Server 2008 R2 och inte tillhandahåller den nya Adprep-funktionen. Om du planerar att distribuera mellanlagrade RODC-konton måste du antingen först distribuera en ej distribuerad RODC i domänen så att den automatiska rodcprep-åtgärden körs eller köra adprep.exe /rodcprep manuellt först.

Annars får du ett felmeddelande. Du kommer inte att kunna installera en skrivskyddad domänkontrollant i den här domänen eftersom adprep /rodcprep inte kördes ännu.

Ange datornamnet

Dialogrutan Ange datornamn kräver att du anger ett datornamn med en enda etikett för en domänkontroller som inte finns. Domänkontrollanten som du konfigurerar och ansluter till det här kontot senare måste ha samma namn, annars upptäcker inte uppgraderingsprocessen det mellanlagrade kontot.

Motsvarande ADDSDeployment Windows PowerShell-argument är:

-domaincontrolleraccountname <string>

Välj en webbplats

Dialogrutan Välj en webbplats visar en lista över Active Directory-platser för den aktuella skogen. Den förberedda skrivskyddade domänkontrollantoperationen kräver att du väljer en enda webbplats i listan. RODC använder den här informationen för att skapa sitt NTDS-inställningsobjekt i konfigurationspartitionen och ansluta sig till rätt plats när den startas för första gången efter distributionen.

Motsvarande ADDSDeployment Windows PowerShell-argument är:

-sitename <string>

Ytterligare alternativ för domänkontrollant

I dialogrutan Ytterligare alternativ för domänkontrollant kan du ange att en domänkontrollant ska inkludera körning som en DNS-server och en global katalog. Microsoft rekommenderar att skrivskyddade domänkontrollanter (RODC) tillhandahåller DNS- och global katalogtjänster (GC), så båda installeras som standard. En avsikt med RODC-rollen är scenarier för avdelningskontor där stamnätet kanske inte är tillgängligt och utan dessa DNS- och globala katalogtjänster kommer datorer på avdelningskontoret inte att kunna använda AD DS-resurser och funktioner.

Alternativet Skrivskyddad domänkontrollant (RODC) är förvalt och kan inte inaktiveras. Motsvarande ADDSDeployment Windows PowerShell-argument är:

-installdns <string>
-NoGlobalCatalog <{$true | $false}>

Ange principen för lösenordsreplikering

I dialogrutan Ange princip för lösenordsreplikering kan du ändra standardlistan över konton som tillåts cachelagra sina lösenord på den här skrivskyddade domänkontrollanten. Konton i listan som konfigurerats med Neka eller som inte finns i listan (implicit) cachelagrar inte sitt lösenord. Konton som inte tillåts cachelagra lösenord på RODC och inte kan ansluta och autentisera till en skrivbar domänkontrollant kan inte komma åt resurser eller funktioner som tillhandahålls av Active Directory.

Motsvarande ADDSDeployment Windows PowerShell-argument är:

-allowpasswordreplicationaccountname <string []>
-denypasswordreplicationaccountname <string []>

Delegering av RODC-installation och administration

Med dialogrutan Delegering av RODC-installation och administration kan du konfigurera en användare eller grupp som innehåller användare som får ansluta servern till RODC-datorkontot. Välj Ange för att bläddra i domänen för en användare eller grupp. Användaren eller gruppen som anges i den här dialogrutan får lokala administrativa behörigheter till RODC. Den angivna användaren eller medlemmarna i den angivna gruppen kan utföra åtgärder på RODC med behörigheter som motsvarar datorns administratörsgrupp. De är inte* medlemmar i domänadministratörer eller domänens inbyggda administratörsgrupper.

Använd det här alternativet om du vill delegera avdelningskontorsadministration utan att bevilja grenadministratörsmedlemskapet till gruppen Domänadministratörer. RODC-administration behöver inte delegeras.

Motsvarande ADDSDeployment Windows PowerShell-argument är:

-delegatedadministratoraccountname <string>

Summary

I dialogrutan Sammanfattning kan du bekräfta dina inställningar. Det här är den sista möjligheten att stoppa installationen innan installationsguiden skapar det förberedda kontot. Välj Nästa när du är redo att skapa det mellanlagrade RODC-datorkontot. Välj Exportera inställningar för att spara en svarsfil i det föråldrade filformatet dcpromo unattend.

Creation

Installationsguiden för Active Directory Domain Services skapar den mellanlagrade skrivskyddade domänkontrollanten i Active Directory. Du kan inte avbryta den här åtgärden när den har startats.

Använd följande cmdlet för att mellanlagra ett skrivskyddat domänkontrollantdatorkonto med hjälp av WINDOWS PowerShell-modulen ADDSDeployment:

Add-addsreadonlydomaincontrolleraccount

Se Steg RODC Windows PowerShell för obligatoriska och valfria argument.

Eftersom Add-addsreadonlydomaincontrolleraccount bara har en åtgärd med två faser (kravkontroll och installation) visar följande skärmbilder installationsfasen med minsta möjliga argument.

Rodc-åtgärden för steg skapar RODC-datorkontot i Active Directory. Active Directory-administrationscenter visar domänkontrollertypen som ett inaktivt domänkontrollantkonto. Den här typen av domänkontrollant indikerar att det förberedda RODC-kontot är redo för en server att ansluta till som en skrivskyddad domänkontrollant.

Attaching

Distributionskonfiguration

Serverhanteraren påbörjar varje befordran av domänkontrollanter med sidan Distributionskonfiguration . Återstående alternativ och obligatoriska fält ändras på den här sidan och efterföljande sidor, beroende på vilken distributionsåtgärd du väljer.

Om du vill lägga till en skrivskyddad domänkontrollant i en befintlig domän väljer du Lägg till en domänkontrollant i en befintlig domän och väljer knappen Väljför att ange domäninformation för den här domänen. Serverhanteraren uppmanar dig automatiskt att ange giltiga autentiseringsuppgifter, eller så kan du välja Ändra.

Att ansluta en RODC kräver medlemskap i domänadministratörsgrupperna i Windows Server 2012. Konfigurationsguiden för Active Directory Domain Services frågar dig senare om dina aktuella autentiseringsuppgifter inte har tillräckliga behörigheter eller gruppmedlemskap.

Windows PowerShell-cmdleten för Distributionskonfiguration ADDSDeployment och argumenten är:

Install-AddsDomainController
-domainname <string>
-credential <pscredential>

Alternativ för domänkontrollant

Sidan Alternativ för domänkontrollant visar alternativen för den nya domänkontrollanten. När den här sidan läses in skickar konfigurationsguiden för Active Directory Domain Services en LDAP-fråga till en befintlig domänkontrollant för att söka efter obebodda konton. Om frågan hittar ett obemannat domänkontrollantdatorkonto som delar samma namn som den aktuella datorn, visar guiden ett informationsmeddelande överst på sidan som läser ett förskapat RODC-konto som matchar namnet på målservern finns i katalogen. Välj om du vill använda det här befintliga RODC-kontot eller installera om den här domänkontrollanten. Guiden använder det befintliga RODC-kontot som standardkonfiguration.

Du kan inte konfigurera alternativ för domänkontrollanter när du ansluter en server till ett RODC-datorkonto. Du konfigurerar alternativ för domänkontrollant när du skapar det förberedda RODC-datorkontot.

Det angivna lösenordet för återställningsläge för Katalogtjänster måste följa den lösenordsprincip som tillämpas på servern. Välj alltid ett starkt, komplext lösenord eller helst en lösenfras.

Windows PowerShell-argumenten för ADDSDeployment Domänkontrollalternativ är:

-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>

Argumenten Install-ADDSDomainController följer samma standardvärden som Serverhanteraren om de inte anges.

SafeModeAdministratorPassword-argumentets åtgärd är speciell:

• Om det inte anges som ett argument uppmanar cmdleten dig att ange och bekräfta ett maskerat lösenord. Det här är den bästa användningen när du kör cmdleten interaktivt.

  Om du till exempel vill skapa en ny rodc i corp.contoso.com och uppmanas att ange och bekräfta ett maskerat lösenord:

  Install-ADDSDomainController -DomainName corp.contoso.com -credential (get-credential)
  

• Om värdet anges med ett värde måste det vara en säker sträng. Det här är inte den bästa användningen när du kör cmdleten interaktivt.

Du kan till exempel manuellt fråga efter ett lösenord med hjälp av cmdleten Read-Host för att fråga användaren om en säker sträng:

-safemodeadministratorpassword (read-host -prompt Password: -assecurestring)

Du kan också ange en säker sträng som en konverterad klartextvariabel, även om detta inte rekommenderas.

-safemodeadministratorpassword (convertto-securestring Password1 -asplaintext -force)

Slutligen kan du lagra det fördunklade lösenordet i en fil och sedan återanvända det senare, utan att lösenordet för klartext någonsin visas. Till exempel:

$file = c:\pw.txt
$pw = read-host -prompt Password: -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

Ytterligare alternativ

Sidan Ytterligare alternativ innehåller konfigurationsalternativ för att namnge en domänkontrollant som replikeringskälla, eller så kan du använda valfri domänkontrollant som replikeringskälla.

Du kan också välja att installera domänkontrollanten med hjälp av säkerhetskopierade medier med hjälp av alternativet Installera från media (IFM). Kryssrutan Installera från media ger ett bläddra-alternativ efter att du har valt den och du måste välja Verifiera för att säkerställa att den angivna sökvägen leder till giltiga media.

Riktlinjer för IFM-källan:

• Media som används av IFM-alternativet skapas med Windows Server Backup eller Ntdsutil.exe från en annan befintlig Windows Server-domänkontrollant med samma operativsystemversion. Du kan till exempel inte använda ett Windows Server 2008 R2 eller tidigare operativsystem för att skapa media för en Windows Server 2012-domänkontrollant.
• IFM-källdata ska komma från en skrivbar domänkontrollant. En källa från RODC fungerar tekniskt sett för att skapa en ny RODC, men det finns falska positiva replikeringsvarningar om att IFM-käll-RODC inte replikeras.

Mer information om ändringar i IFM finns i Ntdsutil.exe Installera från medieändringar. Om du använder media som skyddas med en SYSKEY frågar Serverhanteraren efter avbildningens lösenord under verifieringen.

Argumenten additional options ADDSDeployment cmdlet är:

-replicationsourcedc <string>
-installationmediapath <string>
-systemkey <secure string>

Paths

På sidan Sökvägar kan du åsidosätta standardmappplatserna för AD DS-databasen, databastransaktionsloggarna och SYSVOL-resursen. Standardplatserna finns alltid i underkataloger för %systemroot%. Cmdlet-argumenten Paths ADDSDeployment är:

-databasepath <string>
-logpath <string>
-sysvolpath <string>

Granska alternativ och visa skript

På sidan Granskningsalternativ kan du verifiera inställningarna och se till att de uppfyller dina krav innan du startar installationen. Det här är inte den sista möjligheten att stoppa installationen med hjälp av Serverhanteraren. På den här sidan kan du bara granska och bekräfta inställningarna innan du fortsätter konfigurationen. Sidan Granskningsalternativ i Serverhanteraren innehåller också en valfri visa skriptknapp för att skapa en Unicode-textfil som innehåller den aktuella ADDSDeployment-konfigurationen som ett enda Windows PowerShell-skript. På så sätt kan du använda det grafiska gränssnittet serverhanteraren som en Windows PowerShell-distributionsstudio. Använd konfigurationsguiden för Active Directory Domain Services för att konfigurera alternativ, exportera konfigurationen och sedan avbryta guiden. Den här processen skapar ett giltigt och syntaktiskt korrekt exempel för ytterligare ändring eller direkt användning. Till exempel:

#
# Windows PowerShell Script for AD DS Deployment
#

Import-Module ADDSDeployment
Install-ADDSDomainController `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath C:\Windows\NTDS `
-DomainName corp.contoso.com `
-LogPath C:\Windows\NTDS `
-SYSVOLPath C:\Windows\SYSVOL `
-UseExistingAccount:$true `
-Norebootoncompletion:$false
-Force:$true

Använd det valfria Whatif-argumentet med cmdleten Install-ADDSDomainController för att granska konfigurationsinformationen. På så sätt kan du se de explicita och implicita värdena för argumenten för en cmdlet.

Kravkontroll

Kravkontrollen är en ny funktion i AD DS-domänkonfigurationen. Den här nya fasen verifierar att serverkonfigurationen kan stödja en ny AD DS-skog.

När du installerar en ny skogsrotsdomän anropar Serverhanterarens konfigurationsguide för Active Directory Domain Services en serie modulära tester som körs i sekvens. De här testerna varnar dig med föreslagna reparationsalternativ. Du kan köra testerna så många gånger som krävs. Installationsprocessen för domänkontrollanten kan inte fortsätta förrän alla nödvändiga tester har godkänts.

Kravkontrollen innehåller också relevant information, till exempel säkerhetsändringar som påverkar äldre operativsystem. Mer information om nödvändiga kontroller finns i Kravkontroll.

Du kan inte kringgå kravkontrollen när du använder Serverhanteraren, men du kan hoppa över processen när du använder cmdleten AD DS-distribution med hjälp av följande argument:

-skipprechecks

Välj Installera för att påbörja befordran av domänkontrollant. Det här är sista möjligheten att avbryta installationen. Du kan inte avbryta befordransprocessen när den börjar. Datorn startas om automatiskt i slutet av kampanjen, oavsett kampanjresultat.

Installation

När sidan Installation visas börjar konfigurationen av domänkontrollanten och kan inte stoppas eller avbrytas. Detaljerade åtgärder visas på den här sidan och skrivs till loggar:

• %systemroot%\debug\dcpromo.log

• %systemroot%\debug\dcpromoui.log

Om du vill installera en ny Active Directory-skog med modulen ADDSDeployment använder du följande cmdlet:

Install-addsdomaincontroller

Se Bifoga RODC Windows PowerShell för obligatoriska och valfria argument.

Cmdleten Install-addsdomaincontroller har bara två faser (kravkontroll och installation). De två siffrorna nedan visar installationsfasen med de minsta obligatoriska argumenten -domainname, -useexistingaccount och -credential. Observera hur Install-ADDSDomainController precis som Serverhanteraren påminner dig om att befordran startar om servern automatiskt:

Om du vill acceptera omstartsprompten automatiskt använder du argumenten -force eller -confirm:$false med valfri ADDSDeployment Windows PowerShell-cmdlet. Om du vill förhindra att servern startas om automatiskt i slutet av befordran använder du argumentet -norebootoncompletion .

Results

Sidan Resultat visar lyckade eller misslyckade kampanjer och viktig administrativ information. Domänkontrollanten startas automatiskt om efter 10 sekunder.

RODC utan introduktionsarbetsflöde

Följande diagram illustrerar konfigurationsprocessen för Active Directory Domain Services när du tidigare installerade AD DS-rollen och du har startat konfigurationsguiden för Active Directory Domain Services med serverhanteraren för att skapa en ny icke-taggad skrivskyddad domänkontrollant i en befintlig Windows Server 2012-domän.

RODC utan mellanlagring av Windows PowerShell

RODC utan mellanlagringsdistribution

Distributionskonfiguration

Serverhanteraren påbörjar varje befordran av domänkontrollanter med sidan Distributionskonfiguration . Återstående alternativ och obligatoriska fält ändras på den här sidan och efterföljande sidor, beroende på vilken distributionsåtgärd du väljer.

Om du vill lägga till en otagrad skrivskyddad domänkontrollant i en befintlig Windows Server 2012-domän väljer du Lägg till en domänkontrollant i en befintlig domän och väljer knappen Välj för att Ange domäninformation för den här domänen. Serverhanteraren uppmanar dig automatiskt att ange giltiga autentiseringsuppgifter, eller så kan du välja Ändra.

Att ansluta en RODC kräver medlemskap i domänadministratörsgrupperna i Windows Server 2012. Konfigurationsguiden för Active Directory Domain Services frågar dig senare om dina aktuella autentiseringsuppgifter inte har tillräckliga behörigheter eller gruppmedlemskap.

Windows PowerShell-cmdleten för Distributionskonfiguration ADDSDeployment och argumenten är:

Install-AddsDomainController
-domainname <string>
-credential <pscredential>

Alternativ för domänkontrollant

Sidan Alternativ för domänkontrollant anger domänkontrollantens funktioner för den nya domänkontrollanten. De konfigurerbara domänkontrollantfunktionerna är DNS-server, global katalog och skrivskyddad domänkontrollant. Microsoft rekommenderar att alla domänkontrollanter tillhandahåller DNS- och GC-tjänster för hög tillgänglighet i distribuerade miljöer. GC är alltid markerat som standard och DNS-servern är markerad som standard om den aktuella domänen redan är värd för DNS på sina domänkontrollanter baserat på frågan Start of Authority.

På sidan Alternativ för domänkontrollant kan du också välja det lämpliga logiska platsnamnet för Active Directory från konfigurationen i skogen. Som standard väljer den platsen med det mest korrekta undernätet. Om det bara finns en webbplats väljer den webbplatsen automatiskt.

Det angivna lösenordet för återställningsläge för Katalogtjänster måste följa den lösenordsprincip som tillämpas på servern. Välj alltid ett starkt, komplext lösenord eller helst en lösenfras. Windows PowerShell-argumenten addsDeployment för domänkontrollantalternativ är:

-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>

Argumenten Install-ADDSDomainController följer samma standardvärden som Serverhanteraren om de inte anges.

SafeModeAdministratorPassword-argumentets åtgärd är speciell:

• Om det inte anges som ett argument uppmanar cmdleten dig att ange och bekräfta ett maskerat lösenord. Det här är den bästa användningen när du kör cmdleten interaktivt.

  Om du till exempel vill skapa en ny rodc i corp.contoso.com och uppmanas att ange och bekräfta ett maskerat lösenord:

  Install-ADDSDomainController -DomainName corp.contoso.com -credential (get-credential)
  

• Om värdet anges med ett värde måste det vara en säker sträng. Det här är inte den bästa användningen när du kör cmdleten interaktivt.

Du kan till exempel manuellt fråga efter ett lösenord med hjälp av cmdleten Read-Host för att fråga användaren om en säker sträng:

-safemodeadministratorpassword (read-host -prompt Password: -assecurestring)

Du kan också ange en säker sträng som en konverterad klartextvariabel, även om detta inte rekommenderas.

-safemodeadministratorpassword (convertto-securestring Password1 -asplaintext -force)

Slutligen kan du lagra det fördunklade lösenordet i en fil och sedan återanvända det senare, utan att lösenordet för klartext någonsin visas. Till exempel:

$file = c:\pw.txt
$pw = read-host -prompt Password: -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

RODC-alternativ

På sidan RODC-alternativ kan du ändra inställningarna:

• Delegerat administratörskonto

• Konton som tillåts replikera lösenord till RODC

• Konton som nekas från att replikera lösenord till RODC

Delegerade administratörskonton får lokala administrativa behörigheter till RODC. Dessa användare kan arbeta med behörigheter som motsvarar den lokala datorns administratörsgrupp. De är inte medlemmar i domänadministratörer eller domänens inbyggda administratörsgrupper. Det här alternativet är användbart för att delegera administration av avdelningskontor utan att ge ut domänadministratörsbehörigheter. Det krävs inte att du konfigurerar delegering av administration.

Motsvarande ADDSDeployment Windows PowerShell-argument är:

-delegatedadministratoraccountname <string>

Konton som inte tillåts cachelagra lösenord på RODC och inte kan ansluta och autentisera till en skrivbar domänkontrollant kan inte komma åt resurser eller funktioner som tillhandahålls av Active Directory.

Motsvarande ADDSDeployment Windows PowerShell-argument är:

-allowpasswordreplicationaccountname <string []>
-denypasswordreplicationaccountname <string []>

Ytterligare alternativ

Sidan Ytterligare alternativ innehåller konfigurationsalternativ för att namnge en domänkontrollant som replikeringskälla, eller så kan du använda valfri domänkontrollant som replikeringskälla.

Du kan också välja att installera domänkontrollanten med hjälp av säkerhetskopierade medier med hjälp av alternativet Installera från media (IFM). Kryssrutan Installera från media ger ett bläddra-alternativ efter att du har valt den och du måste välja Verifiera för att säkerställa att den angivna sökvägen leder till giltiga media.

Riktlinjer för IFM-källan:

• Media som används av IFM-alternativet skapas med Windows Server Backup eller Ntdsutil.exe från en annan befintlig Windows Server-domänkontrollant med samma operativsystemversion. Du kan till exempel inte använda ett Windows Server 2008 R2 eller tidigare operativsystem för att skapa media för en Windows Server 2012-domänkontrollant.
• IFM-källdata ska komma från en skrivbar domänkontrollant. En källa från RODC fungerar tekniskt sett för att skapa en ny RODC, men det finns falska positiva replikeringsvarningar om att IFM-käll-RODC inte replikeras.

Mer information om ändringar i IFM finns i Ntdsutil.exe Installera från medieändringar. Om du använder media som skyddas med en SYSKEY frågar Serverhanteraren efter avbildningens lösenord under verifieringen.

Argumenten för cmdleten ADDSDeployment med ytterligare alternativ är:

-replicationsourcedc <string>
-installationmediapath <string>
-systemkey <secure string>

Paths

På sidan Sökvägar kan du åsidosätta standardmappplatserna för AD DS-databasen, databastransaktionsloggarna och SYSVOL-resursen. Standardplatserna finns alltid i underkataloger för %systemroot%. Cmdlet-argumenten Paths ADDSDeployment är:

-databasepath <string>
-logpath <string>
-sysvolpath <string>

Förberedelsealternativ

Sidan Förberedelsealternativ varnar dig om att AD DS-konfigurationen omfattar att utöka schemat (forestprep) och uppdatera domänen (domainprep). Du ser bara den här sidan om skogen eller domänen inte har blivit förberedd genom en tidigare installation av en Windows Server 2012-domänkontrollant, eller genom att manuellt köra Adprep.exe. Konfigurationsguiden för Active Directory Domain Services utelämnar till exempel den här sidan om du lägger till en ny replikdomänkontrollant i en befintlig rotdomän för Windows Server 2012-skogen.

Det går inte att utöka schemat och uppdatera domänen när du väljer Nästa. Dessa händelser inträffar endast under installationsfasen. Den här sidan ger helt enkelt information om de händelser som kommer att inträffa senare i installationen.

Den här sidan verifierar också att de aktuella användarautentiseringsuppgifterna är medlemmar i grupperna Schemaadministratör och Företagsadministratörer, eftersom du behöver medlemskap i dessa grupper för att utöka schemat eller förbereda en domän. Välj Ändra för att ange lämpliga användarautentiseringsuppgifter om sidan informerar dig om att de aktuella autentiseringsuppgifterna inte ger tillräckliga behörigheter.

Det ytterligare alternativet ADDSDeployment cmdlet-argumentet är:

-adprepcredential <pscredential>

Granska alternativ och visa skript

På sidan Granskningsalternativ kan du verifiera inställningarna och se till att de uppfyller dina krav innan du startar installationen. Det här är inte den sista möjligheten att stoppa installationen med hjälp av Serverhanteraren. På den här sidan kan du bara granska och bekräfta inställningarna innan du fortsätter konfigurationen.

Sidan Granskningsalternativ i Serverhanteraren innehåller också en valfri visa skriptknapp för att skapa en Unicode-textfil som innehåller den aktuella ADDSDeployment-konfigurationen som ett enda Windows PowerShell-skript. På så sätt kan du använda det grafiska gränssnittet serverhanteraren som en Windows PowerShell-distributionsstudio. Använd konfigurationsguiden för Active Directory Domain Services för att konfigurera alternativ, exportera konfigurationen och sedan avbryta guiden. Den här processen skapar ett giltigt och syntaktiskt korrekt exempel för ytterligare ändring eller direkt användning. Till exempel:

#
# Windows PowerShell Script for AD DS Deployment
#

Import-Module ADDSDeployment
Install-ADDSDomainController `
-AllowPasswordReplicationAccountName @(CORP\Allowed RODC Password Replication Group, CORP\Chicago RODC Admins, CORP\Chicago RODC Users and Computers) `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath C:\Windows\NTDS `
-DelegatedAdministratorAccountName CORP\Chicago RODC Admins `
-DenyPasswordReplicationAccountName @(BUILTIN\Administrators, BUILTIN\Server Operators, BUILTIN\Backup Operators, BUILTIN\Account Operators, CORP\Denied RODC Password Replication Group) `
-DomainName corp.contoso.com `
-InstallDNS:$true `
-LogPath C:\Windows\NTDS `
-ReadOnlyReplica:$true `
-SiteName Default-First-Site-Name `
-SYSVOLPath C:\Windows\SYSVOL
-Force:$true

Använd det valfria Whatif-argumentet med cmdleten Install-ADDSDomainController för att granska konfigurationsinformationen. På så sätt kan du se de explicita och implicita värdena för argumenten för en cmdlet.

Kravkontroll

Kravkontrollen är en ny funktion i AD DS-domänkonfigurationen. Den här nya fasen verifierar att serverkonfigurationen kan stödja en ny AD DS-skog.

När du installerar en ny skogsrotsdomän anropar Serverhanterarens konfigurationsguide för Active Directory Domain Services en serie modulära tester som körs i sekvens. De här testerna varnar dig med föreslagna reparationsalternativ. Du kan köra testerna så många gånger som krävs. Domänkontrollantprocessen kan inte fortsätta förrän alla nödvändiga tester har godkänts.

Kravkontrollen innehåller också relevant information, till exempel säkerhetsändringar som påverkar äldre operativsystem.

Du kan inte kringgå kravkontrollen när du använder Serverhanteraren, men du kan hoppa över processen när du använder cmdleten AD DS-distribution med hjälp av följande argument:

-skipprechecks

Välj Installera för att påbörja befordran av domänkontrollant. Det här är sista möjligheten att avbryta installationen. Du kan inte avbryta befordransprocessen när den börjar. Datorn startas om automatiskt i slutet av kampanjen, oavsett kampanjresultat.

Installation

När sidan Installation visas börjar konfigurationen av domänkontrollanten och kan inte stoppas eller avbrytas. Detaljerade åtgärder visas på den här sidan och skrivs till loggar:

• %systemroot%\debug\dcpromo.log

• %systemroot%\debug\dcpromoui.log

Om du vill installera en ny Active Directory-skog med modulen ADDSDeployment använder du följande cmdlet:

Install-addsdomaincontroller

Se tabellen ADDSDeployment Cmdlet i början av det här avsnittet för obligatoriska och valfria argument.

Cmdleten Install-addsdomaincontroller har bara två faser (kravkontroll och installation). De två siffrorna nedan visar installationsfasen med de minsta obligatoriska argumenten -domainname, -readonlyreplica, -sitename och -credential. Observera hur Install-ADDSDomainController precis som Serverhanteraren påminner dig om att befordran startar om servern automatiskt:

Om du vill acceptera omstartsprompten automatiskt använder du argumenten -force eller -confirm:$false med valfri ADDSDeployment Windows PowerShell-cmdlet. Om du vill förhindra att servern startas om automatiskt i slutet av befordran använder du argumentet -norebootoncompletion .

Results

Sidan Resultat visar lyckade eller misslyckade kampanjer och viktig administrativ information. Domänkontrollanten startas automatiskt om efter 10 sekunder.