Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом разделе на базовом уровне описывается новая функция повышения роли контроллера домена в доменных службах Active Directory Windows Server 2012. В доменных службах Active Directory в Windows Server 2012 средство Dcpromo заменено диспетчером сервера и системой развертывания на основе Windows PowerShell.
Упрощенное администрирование доменных служб Active Directory
В Windows Server 2012 реализовано упрощенное администрирование доменных служб Active Directory нового поколения, которое представляет собой наиболее радикальную модернизацию системы управления доменами с момента выпуска Windows Server 2000. Упрощенное администрирование доменных служб Active Directory было разработано с учетом двенадцатилетнего опыта работы с Active Directory. Оно улучшает поддержку административных возможностей для архитекторов и администраторов, делает их более гибкими и интуитивно понятными. Достигнуто это было путем создания новых версий существующих технологий, а также расширения возможностей компонентов, появившихся в Windows Server 2008 R2.
Что такое упрощенное администрирование доменных служб Active Directory?
Упрощенное администрирование доменных служб Active Directory — это новый подход к развертыванию доменов. Ниже перечислены некоторые новые возможности.
Развертывание роли доменных служб Active Directory теперь является частью архитектуры диспетчера сервера и допускает удаленную установку.
Модуль развертывания и настройки доменных служб Active Directory теперь основан на Windows PowerShell даже при использовании графического интерфейса установки.
При повышении роли теперь проводится проверка предварительных требований, с помощью которой подтверждается готовность леса и домена к установке нового контроллера домена, что снижает вероятность сбоев.
В режиме работы леса Windows Server 2012 новые функции не реализуются, а режим работы домена необходим только для подмножества новых функций Kerberos, что упрощает создание однородных сред контроллеров доменов для администраторов.
Назначение и преимущества
Может показаться, что эти изменения лишь повысили сложность. Однако при переработке процесса развертывания доменных служб Active Directory появилась возможность объединить многие этапы и рекомендации, сократив число необходимых действий и упростив их. Это означает, например, что при настройке новой реплики контроллера домена с помощью графического интерфейса теперь требуются восемь диалоговых окон вместо двенадцати. Для создания нового леса Active Directory требуется одна команда Windows PowerShell с одним аргументом: именем домена.
Почему в Windows Server 2012 сделан упор на Windows PowerShell? По мере развития распределенных вычислений среда Windows PowerShell обеспечивает единый модуль для настройки и обслуживания как с помощью графического интерфейса, так и с помощью интерфейса командной строки. Она обеспечивает создание полнофункциональных сценариев для любого компонента, предоставляя ИТ-специалистам те же первоклассные возможности, какие интерфейсы API дают разработчикам. По мере широкого распространения облачных вычислений среда Windows PowerShell также дает возможность удаленного администрирования сервера. При этом компьютером без графического интерфейса можно управлять так же эффективно, как и компьютером с монитором и мышью.
Опытный администратор доменных служб Active Directory сможет с успехом применять накопленные знания. Для начинающего администратора кривая обучения стала гораздо более пологой.
Технический обзор
Что следует знать перед началом работы
В этом разделе предполагается, что вы знакомы с предыдущими выпусками доменных служб Active Directory, поэтому в нем не приводятся базовые сведения об их назначении и функциональных возможностях. Дополнительную информацию о доменных службах Active Directory можно найти на страницах портала TechNet, ссылки на которые приведены ниже:
Функциональные описания
Установка роли доменных служб Active Directory
Для установки доменных служб Active Directory, так же как для установки всех остальных ролей сервера и компонентов в Windows Server 2012, используются диспетчер сервера и среда Windows PowerShell. Программа Dcpromo.exe больше не предоставляет графический интерфейс пользователя с параметрами настройки.
Графический мастер в диспетчере сервера или модуль ServerManager для Windows PowerShell используются как для локальной, так и для удаленной установки. Запуская несколько экземпляров этого мастера или командлетов для разных серверов, можно одновременно развертывать доменные службы Active Directory в нескольких контроллерах домена из единой консоли. Хотя эти новые функции не имеют обратной совместимости с Windows Server 2008 R2 или более ранними операционными системами, вы по-прежнему можете использовать программу Dism.exe, появившуюся в Windows Server 2008 R2, для локальной установки роли из классической командной строки.
Настройка роли доменных служб Active Directory
конфигурация служб домен Active Directory "ранее известная как DCPROMO" теперь является дискретной операцией из установки ролей. После установки роли доменных служб Active Directory администратор настраивает сервер в качестве контроллера домена с помощью отдельного мастера в диспетчере сервера или с помощью модуля Windows PowerShell ADDSDeployment.
Настройка роли доменных служб Active Directory осуществляется на основе двенадцатилетнего практического опыта. Контроллеры домена настраиваются в соответствии с новейшими рекомендациями Майкрософт. Например, служба доменных имен (DNS) и глобальные каталоги устанавливаются по умолчанию в каждом контроллере домена.
Мастер настройки диспетчер сервера AD DS объединяет множество отдельных диалогов в меньшее количество запросов и больше не скрывает параметры в режиме "дополнительно". Весь процесс повышения роли осуществляется в ходе установки с помощью одного раскрывающегося диалогового окна. Мастер и модуль Windows PowerShell ADDSDeployment выводят информацию о существенных изменениях и проблемах безопасности, а также ссылки на дополнительные материалы.
Программа Dcpromo.exe сохранена в Windows Server 2012 только для автоматической установки посредством командной строки. Она больше не используется для запуска графического мастера установки. Настоятельно рекомендуется отказаться от использования программы Dcpromo.exe в целях автоматической установки, заменив ее модулем ADDSDeployment, так как соответствующий исполняемый файл не будет включен в следующую версию Windows.
Эти новые функции не имеют обратной совместимости с Windows Server 2008 R2 или более поздними операционными системами.
Important
Программа Dcpromo.exe больше не предоставляет графический мастер и не используется для установки двоичных файлов роли или компонента. При попытке запустить Dcpromo.exe из проводника происходит ошибка:
Мастер установки служб домен Active Directory перемещается в диспетчер сервера. Дополнительные сведения см. в статье https://go.microsoft.com/fwlink/?LinkId=220921."
При попытке выполнить команду Dcpromo.exe /unattend двоичные файлы по-прежнему устанавливаются, как в предыдущих операционных системах, но выводится предупреждение:
"Автоматическая операция dcpromo заменяется модулем ADDSDeployment для Windows PowerShell. Дополнительные сведения см. в статье https://go.microsoft.com/fwlink/?LinkId=220924."
В Windows Server 2012 использовать программу dcpromo.exe не рекомендуется. Она не будет включена в будущие версии Windows и не будет улучшаться далее в текущей. Администраторам следует прекратить ее использование и перейти на поддерживаемые модули Windows PowerShell для создания контроллеров домена из командной строки.
Проверка готовности
Настройка контроллера домена также включает этап проверки предварительных требований, на котором проводится оценка леса и домена перед повышением роли контроллера домена. При этом проверяются доступность роли FSMO, права пользователей, совместимость расширенной схемы и другие требования. Новая структура процесса позволяет уменьшить число проблем, при которых повышение роли контроллера домена прерывается посередине из-за неустранимой ошибки конфигурации. Это снижает вероятность образования потерянных метаданных контроллеров домена в лесу или возникновения серверов, которые считают себя контроллерами домена, хотя не являются ими.
Развертывание леса с использованием диспетчера серверов
В этом разделе описывается, как установить первый контроллер домена в корневом домене леса с помощью диспетчера сервера на компьютере Windows Server 2012 с графическим интерфейсом.
Процесс установки роли доменных служб Active Directory с помощью диспетчера сервера
На схеме ниже показан процесс установки роли доменных служб Active Directory, начиная с запуска ServerManager.exe и заканчивая моментом перед повышением роли контроллера домена.
Пул серверов и добавление ролей
Объединить в пул можно любые компьютеры с ОС Windows Server 2012, доступные с компьютера, на котором запущен диспетчер сервера. После объединения в пул эти серверы можно использовать для удаленной установки доменных служб Active Directory или любых других вариантов конфигурации, возможных в диспетчере сервера.
Чтобы добавить серверы, выполните одно из указанных ниже действий.
На плитке приветствия на информационной панели щелкните Добавить другие серверы для управления .
Щелкните меню "Управление " и выберите " Добавить серверы"
Щелкните правой кнопкой мыши все серверы и выберите пункт "Добавить серверы"
Откроется диалоговое окно "Добавление серверов".
В нем можно добавить серверы в пул для использования или группировки тремя способами:
поиск в Active Directory (используется LDAP, компьютеры должны принадлежать к домену, разрешена фильтрация ОС, поддерживаются подстановочные знаки);
Поиск по DNS (используется DNS-псевдоним или IP-адрес посредством передачи ARP или NetBIOS либо просмотра WINS; операционной системе запрещена фильтрация и поддержка подстановочных знаков);
Импорт (используется список серверов в виде текстового файла с разделителями CR/LF)
Нажмите кнопку "Найти сейчас ", чтобы вернуть список серверов из того же домена Active Directory, к которому присоединен компьютер, щелкните один или несколько имен серверов из списка серверов. Щелкните стрелку вправо, чтобы добавить серверы в выбранный список. Используйте диалоговое окно "Добавить серверы" , чтобы добавить выбранные серверы в группы ролей панели мониторинга. Или нажмите кнопку "Управление", а затем нажмите кнопку "Создать группу серверов" или щелкните "Создать группу серверов" на панели мониторинга "Добро пожаловать в диспетчер серверов", чтобы создать настраиваемые группы серверов.
Note
Процедура "Добавление серверов" не выполняет проверку подключения сервера или его доступности. Однако при следующем обновлении недоступные серверы будут помечены в представлении "Управляемость" диспетчера сервера.
Вы можете установить роли удаленно на любые компьютеры Windows Server 2012, добавленные в пул, как показано на снимке экрана:
Вы не можете полностью управлять серверами с более ранними операционными системами, чем Windows Server 2012. При выборе пункта Добавить роли и компоненты выполняется командлет Install-WindowsFeatureиз модуля Windows PowerShell ServerManager.
Вы также можете выбрать установку доменных служб Active Directory на удаленном сервере с предварительно выбранной ролью с помощью информационной панели диспетчера сервера на существующем контроллере домена, щелкнув плитку на информационной панели правой кнопкой мыши и выбрав пункт Добавить AD DS на другой сервер. Это вызывает Install-WindowsFeature доменных служб AD.
Компьютер с запущенным диспетчером сервера автоматически включает себя в пул. Чтобы установить роль AD DS здесь, просто щелкните меню "Управление " и нажмите кнопку "Добавить роли и компоненты".
Тип установки
Диалоговое окно "Тип установки" предоставляет параметр, который не поддерживает доменные службы Active Directory: сценарий установки служб удаленных рабочих столов. При выборе этого варианта возможно использование только служб удаленных рабочих столов в распределенной среде с несколькими серверами. Установить доменные службы Active Directory в этом случае нельзя.
При установке доменных служб Active Directory всегда оставляйте вариант по умолчанию: Установка ролей или компонентов.
Выбор сервера
Диалоговое окно выбора сервера позволяет выбрать один из серверов, добавленных ранее в пул, до тех пор, пока он доступен. Локальный сервер, на котором запущен диспетчер сервера, доступен автоматически.
Кроме того, вы можете выбрать автономные VHD-файлы Hyper-V с операционной системой Windows Server 2012, и диспетчер сервера добавит в них роль напрямую с помощью системы предоставления компонентов. Таким образом можно предоставлять виртуальным серверам необходимые компоненты перед их дальнейшей настройкой.
"Роли сервера" и "Компоненты"
Если необходимо повысить роль контроллера домена, выберите роль Доменные службы Active Directory . Все функции администрирования Active Directory и необходимые службы устанавливаются автоматически, даже если они являются частью другой роли или не выбраны в интерфейсе диспетчера сервера.
Диспетчер серверов также представляет информационное диалоговое окно, в котором показаны функции управления, которые эта роль неявно устанавливает; это эквивалентно аргументу -IncludeManagementTools .
Дополнительные компоненты можно добавить здесь по мере необходимости.
Доменные службы Active Directory
В диалоговом окне Доменные службы Active Directory приводится ограниченная информация о требованиях и рекомендациях. В основном он выступает в качестве подтверждения того, что вы выбрали роль AD DS " если этот экран не отображается, вы не выбрали AD DS.
Confirmation
Диалоговое окно подтверждения — это последняя контрольная точка перед началом установки роли. С его помощью можно указать, что компьютер необходимо перезагрузить после установки роли, однако установка доменных служб Active Directory не требует перезагрузки.
Нажав кнопку "Установить", убедитесь, что вы готовы начать установку ролей. После того как установка роли начнется, отменить ее будет невозможно.
Results
В диалоговом окне "Результаты " показан текущий ход установки и текущее состояние установки. Установка роли продолжится, даже если закрыть диспетчер сервера.
Рекомендуется проверять результат установки. При закрытии диалогового окна "Результаты " перед завершением установки можно проверить результаты с помощью флага уведомления диспетчера серверов. В диспетчере сервера также выводятся предупреждения для всех серверов, на которых установлена роль доменных служб Active Directory, но которые не были затем настроены как контроллеры домена.
Уведомления о задачах
Сведения о AD DS
Сведения о задаче
Повышение роли до контроллера домена
После того как установка роли доменных служб Active Directory завершится, можно продолжить настройку с помощью ссылки Повысить роль этого сервера до уровня контроллера домена . Это необходимо для того, чтобы сделать сервер контроллером домена, однако мастер настройки запускать сразу необязательно. Например, может потребоваться предоставить серверам двоичные файлы роли доменных служб Active Directory, а затем отправить их в другой филиал для дальнейшей настройки. Добавив роль доменных служб Active Directory перед отправкой, можно сэкономить время, требуемое для настройки на месте назначения. При этом также выполняется рекомендация, в соответствии с которой контроллер домена не следует отключать на несколько дней или недель. Наконец, это позволяет обновить компоненты перед повышением роли контроллера домена и уменьшить число последующих перезагрузок по крайней мере на одну.
При выборе этой ссылки позже вызывается командлеты ADDSDeployment: install-addsforest, install-addsdomain или install-addsdomaincontroller.
Uninstalling/Disabling
Роль доменных служб Active Directory удаляется так же, как любая другая роль, вне зависимости от того, была ли роль сервера повышена до контроллера домена. Однако по завершении удаления роли доменных служб Active Directory необходимо перезапустить сервер.
Удаление роли доменных служб Active Directory отличается от установки тем, что для его завершения необходимо понизить роль контроллера домена. Это требуется для того, чтобы удаление двоичных файлов роли в контроллере домена сопровождалось надлежащей очисткой метаданных в лесу. Дополнительные сведения см. в разделе "Понижение контроллеров домена" и "Домены" (уровень 200).
Warning
Удаление ролей доменных служб Active Directory с помощью программы Dism.exe или модуля Windows PowerShell DISM после повышения роли до контроллера домена не поддерживается и приводит к тому, что сервер перестает загружаться нормально.
В отличие от диспетчера сервера или модуля ADDSDeployment для Windows PowerShell, DISM — это собственная система обслуживания, которая не распознает доменные службы Active Directory или их конфигурацию. Не используйте программу Dism.exe или модуль Windows PowerShell DISM для удаления роли доменных служб Active Directory, если сервер все еще является контроллером домена.
Создание корневого домена леса доменных служб Active Directory с помощью диспетчера сервера
На схеме ниже показан процесс настройки доменных служб Active Directory. Предполагается, что вы ранее установили роль доменных служб Active Directory и запустили мастер настройки доменных служб Active Directory с помощью диспетчера сервера.
Конфигурация развертывания
Диспетчер серверов начинает каждое повышение уровня контроллера домена со страницы конфигурации развертывания . Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана.
Чтобы создать лес Active Directory, установите переключатель в положение Добавить новый лес. Необходимо указать допустимое корневое доменное имя; Имя не может быть одноклейным (например, имя должно быть contoso.com или аналогично, а не только contoso) и должно использовать требования к именованию доменов DNS.
Подробнее о допустимых доменных именах см. в статье базы знаний Соглашения об именовании в Active Directory для компьютеров, доменов, сайтов и подразделений.
Warning
Имена лесов Active Directory не должны совпадать с внешними именами DNS. Например, если URL-адрес DNS в Интернете имеет https://contoso.comзначение, необходимо выбрать другое имя внутреннего леса, чтобы избежать будущих проблем совместимости. Данное имя должно быть уникальным и достаточно редким для веб-трафика, например corp.contoso.com.
В новом лесу не требуются новые учетные данные для учетной записи администратора домена. Процесс повышения роли контроллера домена использует учетные данные встроенной учетной записи администратора из первого контроллера домена, применяемого для создания корневого домена леса. Не существует стандартного способа отключить или заблокировать встроенную учетную запись администратора, и она может быть единственной точкой входа в лес, если другие учетные записи администраторов домена использовать невозможно. Перед развертыванием нового леса необходимо знать пароль.
Имя домена требует допустимого полного DNS-имени домена и требуется.
Параметры контроллера домена
На странице Параметры контроллера домена можно настроить режим работы леса и режим работы домена для нового корневого домена леса. По умолчанию эти параметры являются Windows Server 2012 в новом корневом домене леса. Функциональный уровень леса Windows Server 2012 не предоставляет новые функциональные возможности для леса Windows Server 2008 R2. Функциональный уровень домена Windows Server 2012 требуется только для реализации новых параметров Kerberos "всегда предоставлять утверждения" и "Неупорядоченные запросы проверки подлинности". Основное использование функциональных уровней в Windows Server 2012 заключается в ограничении участия в домене контроллерам домена, которые соответствуют минимальным требованиям к операционной системе. Другими словами, можно указать функциональный уровень домена Windows Server 2012 только контроллеры домена под управлением Windows Server 2012, которые могут размещать домен. Windows Server 2012 реализует новый флаг контроллера домена с именем DS_WIN8_REQUIRED в функции DSGetDcName NetLogon, которая исключительно находит контроллеры домена Windows Server 2012. Это позволяет более гибко создавать однородные или разнородные леса с учетом операционных систем, под управлением которых могут работать контроллеры домена.
Подробнее о расположении контроллеров домена см. в статье Функции службы каталогов.
Единственной настраиваемой возможностью контроллера домена является служба DNS-сервера. Корпорация Майкрософт рекомендует, чтобы все контроллеры домена предоставляли службы DNS для обеспечения высокой доступности в распределенных средах. Поэтому этот параметр выбран по умолчанию при установке контроллера домена в любом режиме или домене. Параметры "Глобальный каталог" и "Контроллер домена только для чтения" недоступны при создании корневого домена леса, потому что первый контроллер домена должен быть глобальным каталогом и не может быть контроллером домена только для чтения.
Назначаемый пароль режима восстановления служб каталогов должен соответствовать применяемой к серверу политике паролей, которая по умолчанию не требует надежного пароля — допускается любой непустой пароль. Необходимо всегда выбирать надежный и сложный пароль, предпочтительно парольную фразу.
Параметры DNS и учетные данные для делегирования DNS
Страница "Параметры DNS " позволяет настроить делегирование DNS и предоставить альтернативные учетные данные администратора DNS.
Параметры DNS или делегирование нельзя настроить в мастере настройки доменных служб Active Directory при установке нового корневого домена леса Active Directory, где вы выбрали DNS-сервер на странице "Параметры контроллера домена ". Параметр Создать DNS-делегирование доступен при создании корневой зоны DNS леса в существующей инфраструктуре DNS-серверов. Он позволяет указать альтернативные учетные данные администратора DNS с правами на обновление зоны DNS.
Дополнительные сведения о необходимости создания DNS-делегирования см. в статье Общее представление о делегировании зоны.
Дополнительные параметры
На странице "Дополнительные параметры" отображается имя netBIOS домена и вы можете переопределить его. По умолчанию доменное имя NetBIOS соответствует левой метки полного доменного имени, предоставленного на странице "Конфигурация развертывания ". Например, если указано полное доменное имя corp.contoso.com, NetBIOS-имя домена по умолчанию — CORP.
Если имя содержит не более 15 символов и не конфликтует с другим NetBIOS-именем, оно остается без изменений. Если оно конфликтует с другим NetBIOS-именем, к нему добавляется число. Если длина имени больше 15 символов, мастер предоставляет уникальный усеченный вариант. В любом случае мастер сначала проверяет, не занято ли имя, с помощью просмотра WINS и широковещательной рассылки NetBIOS.
Подробнее о допустимых доменных именах см. в статье базы знаний Соглашения об именовании в Active Directory для компьютеров, доменов, сайтов и подразделений.
Paths
Страница "Пути" позволяет переопределить расположения папок по умолчанию базы данных AD DS, журналы транзакций базы данных и общую папку SYSVOL. Расположение по умолчанию всегда в подкаталогах %systemroot% (т. е. C:\Windows).
"Просмотреть параметры" и "Просмотреть скрипт"
Страница "Параметры проверки " позволяет проверить параметры и убедиться, что они соответствуют вашим требованиям перед началом установки. Позднее установку также можно будет остановить с помощью диспетчера сервера. Эта страница позволяет подтвердить параметры перед продолжением настройки.
Страница "Параметры проверки " в диспетчере серверов также предлагает необязательную кнопку "Просмотр скрипта " для создания текстового файла Юникода, содержащего текущую конфигурацию ADDSDeployment в качестве одного скрипта Windows PowerShell. Это позволяет использовать графический интерфейс диспетчера сервера в качестве студии развертывания Windows PowerShell. С помощью мастера настройки доменных служб Active Directory необходимо настроить параметры, экспортировать конфигурацию и затем отменить мастер. Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования. Рассмотрим пример.
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDNSDelegation `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainName "corp.contoso.com" `
-DomainNetBIOSName "CORP" `
-ForestMode "Win2012" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true
Note
Диспетчер сервера обычно задает значения для всех аргументов при повышении роли, не полагаясь на значения по умолчанию (так как они могут изменяться в будущих версиях Windows или пакетах обновления). Одним из исключений является аргумент -safemodeadministratorpassword (который намеренно опущен из скрипта). Для принудительного вывода запроса на подтверждение не указывайте значение при интерактивном выполнении командлета.
Проверка предварительных условий
Проверка необходимых компонентов — это новая функция в конфигурации домена AD DS. На этом новом этапе проверяется возможность поддержки нового леса доменных служб Active Directory конфигурацией сервера.
При установке нового корневого домена леса мастер настройки доменных служб Active Directory в диспетчере сервера выполняет серию модульных тестов. При этом предлагаются рекомендуемые способы восстановления. Тесты можно выполнять необходимое число раз. Установка контроллера домена не может продолжаться, пока все проверки предварительных требований не будут пройдены.
Проверка необходимых компонентов также отображает соответствующие сведения, такие как изменения безопасности, влияющие на старые операционные системы.
Дополнительные сведения о конкретных проверках готовности см. в разделе "Проверка готовности".
Installation
При отображении страницы установки конфигурация контроллера домена начинается и не может быть остановлена или отменена. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
Note
Из одной консоли диспетчера сервера можно одновременно запустить несколько мастеров установки роли и настройки доменных служб Active Directory.
Results
На странице "Результаты " отображается успешное или неудачно продвижение и любая важная административная информация. Контроллер домена автоматически перезагрузится через 10 секунд.
Развертывание леса с помощью Windows PowerShell
В этом разделе описывается, как установить первый контроллер домена в корневом домене леса с помощью Windows PowerShell на компьютере с базовыми компонентами Windows Server 2012.
Процесс установки роли доменных служб Active Directory с помощью Windows PowerShell
Включив несколько простых командлетов из модуля ServerManager в процесс развертывания, можно еще более упростить администрирование доменных служб Active Directory.
На следующем рисунке показан процесс установки роли доменных служб Active Directory, начиная с запуска PowerShell.exe и заканчивая прямо перед продвижением контроллера домена.
| Командлет ServerManager | Аргументы (аргументы полужирного шрифта обязательны. Курсивные аргументы можно указать с помощью Windows PowerShell или мастера настройки AD DS.) |
|---|---|
| Install-WindowsFeature/Add-WindowsFeature |
-Name -Restart -IncludeAllSubFeature -IncludeManagementTools -Source -ComputerName -Credential -LogPath -Vhd -ConfigurationFilePath |
Note
Хотя это не обязательно, аргумент -IncludeManagementTools настоятельно рекомендуется при установке двоичных файлов ролей AD DS
Модуль ServerManager предоставляет доступ к частям нового модуля DISM для Windows PowerShell, предназначенным для установки, отслеживания состояния и удаления роли. Такая структура упрощает большинство задач и уменьшает потребность в прямом использовании эффективного (но опасного при неправильном применении) модуля DISM.
Используйте команду Get-Command для экспорта псевдонимов и командлетов в ServerManager.
Get-Command -module ServerManager
Рассмотрим пример.
Чтобы добавить роль доменных служб Active Directory, просто запустите install-WindowsFeature с именем роли AD DS в качестве аргумента. Так же как при использовании диспетчера сервера, все службы, необходимые для роли доменных служб Active Directory, устанавливаются автоматически.
Install-WindowsFeature -name AD-Domain-Services
Если вы также хотите установить средства управления AD DS , и это настоятельно рекомендуется , а затем укажите аргумент -IncludeManagementTools :
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
Рассмотрим пример.
Чтобы перечислить все компоненты и роли с их состоянием установки, используйте Get-WindowsFeature без аргументов. Укажите аргумент -ComputerName для состояния установки с удаленного сервера.
Get-WindowsFeature
Так как Get-WindowsFeature не имеет механизма фильтрации, необходимо использовать where-Object с конвейером для поиска конкретных функций. Конвейер — это канал, по которому данные передаются между несколькими командлетами, а командлет Where-Object выступает в роли фильтра. Встроенная переменная $_ выступает в качестве текущего объекта, передаваемого через конвейер с любыми свойствами, которые он может содержать.
Get-WindowsFeature | where-object <options>
Например, чтобы найти все функции, содержащие "Active Dir" в свойстве отображаемого имени , используйте следующее:
Get-WindowsFeature | where displayname -like "*active dir*"
Ниже приведены дополнительные примеры.
Подробнее о дополнительных операциях с конвейерами в Windows PowerShell и командлете Where-Object см. в статье Конвейерная передача и конвейер в Windows PowerShell.
Также обратите внимание на то, что в Windows PowerShell 3.0 значительно упростились аргументы командной строки, необходимые для выполнения этой конвейерной операции. В Windows PowerShell 2.0 потребовалась бы следующая команда:
Get-WindowsFeature | where {$_.displayname - like "*active dir*"}
С помощью конвейера Windows PowerShell можно получить удобные для восприятия результаты. Рассмотрим пример.
Install-WindowsFeature | Format-List
Install-WindowsFeature | select-object | Format-List
Обратите внимание, что использование командлета Select-Object с аргументом -expandproperty возвращает интересные данные:
Note
Аргумент Select-Object -expandproperty немного замедляет общую производительность установки.
Создание корневого домена леса доменных служб Active Directory с помощью Windows PowerShell
Чтобы установить новый лес Active Directory с помощью модуля ADDSDeployment, используйте следующий командлет:
Install-addsforest
Командлет Install-AddsForest имеет только два этапа (проверка готовности и установка). На двух рисунках ниже показан этап установки с минимальным обязательным аргументом -domainname.
| Командлет ADDSDeployment | Аргументы (аргументы полужирного шрифта обязательны. Курсивные аргументы можно указать с помощью Windows PowerShell или мастера настройки AD DS.) |
|---|---|
| Install-Addsforest | -Confirm -CreateDNSDelegation -DatabasePath -DomainMode -DomainName -DomainNetBIOSName -DNSDelegationCredential -ForestMode -Force -InstallDNS -LogPath -NoDnsOnNetwork -NoRebootOnCompletion -SafeModeAdministratorPassword -SkipAutoConfigureDNS -SkipPreChecks -SYSVOLPath -Whatif |
Note
Аргумент -DomainNetBIOSName является обязательным, если требуется изменить автоматически созданное 15-символьное имя на основе префикса доменного имени DNS или если имя превышает 15 символов.
Эквивалентный командлет и аргументы конфигурации развертывания диспетчера серверов ADDSDeployment:
Install-ADDSForest
-DomainName <string>
Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице "Параметры контроллера домена" в диспетчере сервера:
-ForestMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-InstallDNS <{$false | $true}>
-SafeModeAdministratorPassword <secure string>
Аргументы Install-ADDSForest следуют тем же значениям по умолчанию, что и диспетчер серверов, если он не указан.
Операция аргумента SafeModeAdministratorPassword является специальной:
Если аргумент не указан в качестве аргумента, командлет запрашивает ввод и подтверждение маскированного пароля. Это предпочтительный вариант использования при интерактивном выполнении командлета.
Например, чтобы создать лес с именем corp.contoso.com с выводом запроса на ввод и подтверждение скрытого пароля, выполните следующую команду:
Install-ADDSForest "DomainName corp.contoso.comЕсли аргумент указан со значением, это значение должно быть защищенной строкой. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета.
Например, можно вручную запрашивать пароль с помощью командлета Read-Host для запроса пользователя к безопасной строке:
-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)
Warning
Поскольку в предыдущем варианте пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим.
Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется.
-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
Наконец, можно сохранить скрытый пароль в файле, а затем использовать его повторно, никогда не отображая пароль в виде открытого текста. Рассмотрим пример.
$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Warning
Ввод или хранение пароля в виде открытого или скрытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в скрипты или заглядывающий через ваше плечо, сможет узнать пароль DSRM этого доменного контроллера. Любой пользователь, имеющий доступ к файлу, сможет восстановить скрытый пароль. Зная пароль, он сможет войти в контроллер домена, запущенный в режиме восстановления служб каталогов, и персонифицировать сам контроллер домена, повысив уровень собственных привилегий в лесу Active Directory до максимального уровня. Дополнительный набор шагов с помощью System.Security.Cryptography для шифрования данных текстового файла рекомендуется, но вне области. Лучше всего полностью отказаться от хранения паролей.
Командлет ADDSDeployment предлагает дополнительную возможность пропустить автоматическую настройку параметров DNS-клиента, серверов пересылки и корневых ссылок. При использовании диспетчера сервера пропустить эту настройку нельзя. Этот аргумент имеет значение только в том случае, если роль DNS-сервера была установлена до настройки контроллера домена:
-SkipAutoConfigureDNS
Операция DomainNetBIOSName также является специальной:
Если аргумент DomainNetBIOSName не указан с доменным именем NetBIOS, а имя домена с одним меткой в аргументе DomainName равно 15 символам или меньше, то повышение продолжается с автоматически созданным именем.
Если аргумент DomainNetBIOSName не указан с доменным именем NetBIOS, а имя домена с одной меткой в аргументе DomainName равно 16 символам или нескольким, то повышение завершается ошибкой.
Если аргумент DomainNetBIOSName указан с доменным именем NetBIOS 15 символов или меньше, то повышение продолжается с указанным именем.
Если аргумент DomainNetBIOSName указан с доменным именем NetBIOS 16 символов или более, то повышение завершается ошибкой.
Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице "Дополнительные параметры" в диспетчере сервера:
-domainnetbiosname <string>
Аргументы командлета ADDSDeployment эквивалентны эквивалентным аргументам командлета диспетчера серверов:
-databasepath <string>
-logpath <string>
-sysvolpath <string>
Используйте необязательный аргумент Whatif с командлетом Install-ADDSForest для просмотра сведений о конфигурации. Это позволит просмотреть явные и неявные значения аргументов командлета.
Рассмотрим пример.
Невозможно обойти проверку готовности при использовании диспетчера серверов, но можно пропустить процесс при использовании командлета развертывания AD DS с помощью следующего аргумента:
-skipprechecks
Warning
Корпорация Майкрософт не рекомендует пропускать проверку предварительных требований, так как это может привести к частичному повышению роли контроллера домена или повреждению леса Active Directory.
Обратите внимание, что, как и диспетчер серверов, Install-ADDSForest напоминает вам, что повышение перезагрузит сервер автоматически.
Чтобы автоматически принять запрос на перезагрузку, используйте аргументы -force или -confirm:$false с любым командлетом ADDSDeployment Windows PowerShell. Чтобы предотвратить автоматическую перезагрузку сервера в конце продвижения, используйте аргумент -norebootoncompletion .
Warning
Отключать перезагрузку не рекомендуется. Для правильной работы контроллер домена должен перезагрузиться.
См. также
службы домен Active Directory (портал TechNet)службы домен Active Directory для Windows Server 2008 R2службы домен Active Directory для Windows Server 2008Технический справочник по Windows Server (Windows Server 2003)Центр администрирования Active Directory: начало работы (Windows Server 2008 R2)Администрирование Active Directory с Помощью Windows PowerShell (Windows Server 2008 R2)Попросите группу служб каталогов (официальный блог технической поддержки Майкрософт)