适用对象:Windows Server 2012
本主题还说明了如何在不执行分步安装的情况下安装 RODC。
分步的只读域控制器 (RODC) 安装包括两个独立的阶段:
-
分步创建未占用的计算机帐户
-
在升级期间将 RODC 附加到该帐户
下图阐释了 Active Directory 域服务只读域控制器分步过程,在此过程中你使用 Active Directory 管理中心 (Dsac.exe) 在域中创建空白 RODC 计算机帐户。
|
ADDSDeployment Cmdlet |
斜体参数可以通过使用 Windows PowerShell 或 AD DS 配置向导来指定。) |
|
Add-addsreadonlydomaincontrolleraccount
|
-SkipPreChecks -DomainControllerAccountName -DomainName -SiteName -AllowPasswordReplicationAccountName -Credential -DelegatedAdministratorAccountName -DenyPasswordReplicationAccountName -NoGlobalCatalog -InstallDNS -ReplicationSourceDC |
|
|
|---|
|
-credential 参数。 |
下图阐释了 Active Directory 域服务配置过程,你已在其中安装了 AD DS 角色、分步创建 RODC 帐户,并使用服务器管理器开始了“将此服务器升级到域控制器”以在现有域中创建新的 RODC,并将其附加到分步的计算机帐户。
|
ADDSDeployment Cmdlet |
斜体参数可以通过使用 Windows PowerShell 或 AD DS 配置向导来指定。) |
|
Install-AddsDomaincontroller |
-SkipPreChecks -DomainName -SafeModeAdministratorPassword -ApplicationPartitionsToReplicate -CreateDNSDelegation -Credential -CriticalReplicationOnly -DatabasePath -DNSDelegationCredential -InstallationMediaPath -LogPath -Norebootoncompletion -ReplicationSourceDC -SystemKey -SYSVOLPath -UseExistingAccount |
|
|
|---|
|
-credential 参数。 |
单击任务窗格中的“预创建只读域控制器帐户”。
Active Directory 管理中心:入门。
如果你有创建只读域控制器的经验,你将发现安装向导的图形界面与在使用 Windows Server 2008 中较早版本 Active Directory 用户和计算机管理单元时看到的相同,并且使用相同的代码,这包括采用由过时的 dcpromo 使用的无人参与文件格式导出配置。
以下部分显示等效的 cmdlet 和参数,以便使每种方法的相关信息更简单易懂。
Active Directory 管理中心任务窗格中的“预创建只读域控制器帐户”链接与 ADDSDeployment Windows PowerShell cmdlet 等效:
Add-addsreadonlydomaincontrolleraccount
如果它们不包括 Domain Admins 组的成员身份,请单击“备用凭据”,并单击“设置”以向向导提供作为 Domain Admins 组成员的用户名和密码。
等效 ADDSDeployment Windows PowerShell 参数是:
-credential <pscredential>
如果你计划部署分步 RODC 帐户,你必须首先在该域中部署未分步的 RODC 以运行自动 rodcprep 操作,或者首先手动运行 adprep.exe /rodcprep。
否则,你将收到错误“你将无法在此域中安装只读域控制器,因为‘adprep /rodcprep’尚未运行”。
你之后配置并附加到此帐户的域控制器必须具有相同的名称,否则升级操作将不会检测出分步的帐户。
等效 ADDSDeployment Windows PowerShell 参数是:
-domaincontrolleraccountname <string>
RODC 使用此信息在配置分区中创建其 NTDS 设置对象,并在部署后首次启动时将其自身加入正确的站点中。
等效 ADDSDeployment Windows PowerShell 参数是:
-sitename <string>
Microsoft 建议只读域控制器提供 DNS 和 GC 服务,因此将默认安装两者;RODC 角色的一个意图是分支机构方案,其中广域网可能不可用,而且在没有 DNS 和全局编录服务的情况下,分支机构中的计算机将无法使用 AD DS 资源和功能。
等效 ADDSDeployment Windows PowerShell 参数是:
-installdns <string>
-NoGlobalCatalog <{$true | $false}>
|
|
|---|
|
–NoGlobalCatalog 值是 $false,这意味着如果未指定参数,域控制器将是全局编录服务器。 |
不被允许在 RODC 上缓存密码并且无法连接并身份验证到可写域控制器的帐户无法访问 Active Directory 提供的资源或功能。
|
|
|---|
|
如果你清除此复选框,则向导将使用以下默认组和值:
|
等效 ADDSDeployment Windows PowerShell 参数是:
-allowpasswordreplicationaccountname <string []> -denypasswordreplicationaccountname <string []>
他们不是 Domain Admins 或域内置 Administrators 组的成员。
不需要委派 RODC 管理。(注:在配置RODC时不需要使用域管理员账户)
等效 ADDSDeployment Windows PowerShell 参数是:
-delegatedadministratoraccountname <string>
你无法在其开始后取消此操作。
使用以下 cmdlet 通过 ADDSDeployment Windows PowerShell 模块分步创建只读域控制器计算机帐户:
Add-addsreadonlydomaincontrolleraccount
分步 RODC Windows PowerShell 以了解必需和可选参数。
Add-addsreadonlydomaincontrolleraccount 仅有一个包含两个阶段(先决条件检查和安装)的操作,因此以下屏幕截图显示带有最少必需参数的安装阶段。
此域控制器类型显示分步 RODC 帐户已经为服务器附加为只读域控制器做好准备。
|
|
|---|
|
这些步骤与将新的可写域控制器添加到现有域类似,例外之处是分步 RODC 计算机帐户包含的配置选项在你分步创建 RODC 计算机帐户时已经决定。 |
其余选项和必填字段在此页面和后续页面上会有所变化,这视所选部署操作而定。
服务器管理器自动提示你提供有效的凭据,或者你可以单击“更改”。
如果当前凭据没有足够权限或组成员身份,Active Directory 域服务配置向导将在稍后给出提示。
部署配置 ADDSDeployment Windows PowerShell cmdlet 和参数是:
Install-AddsDomainController -domainname <string> -credential <pscredential>
“域控制器选项”页面显示用于新域控制器的域控制器选项。当此页面加载时,Active Directory 域服务配置向导向现有域控制器发送 LDAP 查询以检查未占用的帐户。如果该查询找到与当前计算机名称相同的未占用域控制器计算机帐户,则向导在页面顶部显示一条信息性消息,内容为“目录中存在匹配目标服务器名称的预创建 RODC 帐户。选择是使用此现有 RODC 帐户还是重新安装此域控制器。”向导使用“使用现有 RODC 帐户”作为默认配置。
|
|
|---|
|
如果你从 Active Directory 删除了域控制器对象的元数据(元数据清理),则“重新安装此域控制器”选项不可用。 |
将在创建分步 RODC 计算机帐户时配置域控制器选项。
总是选择复杂强密码或首选密码。
域控制器选项 ADDSDeployment Windows PowerShell 参数是:
-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>
|
|
|---|
|
new-adreplicationsite 创建新站点。 |
Install-ADDSDomainController 参数使用与服务器管理器相同的默认值(如果未指定)。
SafeModeAdministratorPassword 参数的操作是特殊操作:
-
以交互方式运行 cmdlet 时,这是首选用法。
例如,要在 corp.contoso.com 中创建新的 RODC,并且收到输入并确认掩蔽密码的提示:
Install-ADDSDomainController –DomainName corp.contoso.com –credential (get-credential)
-
以交互方式运行 cmdlet 时,这不是首选用法。
Read-Host cmdlet 提示用户提供安全字符串来手动提示输入密码:
-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)
|
|
|---|
|
由于上个选项未确认密码,请务必十分谨慎:密码不可见。 |
你还可以提供安全字符串作为转换的明文变量,尽管强烈不建议这样做。
-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
例如:
$file = "c:\pw.txt" $pw = read-host -prompt "Password:" -assecurestring $pw | ConvertFrom-SecureString | Set-Content $file -safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
|
|
|---|
|
最佳实践是完全避免密码存储。 |
“其他选项”页面提供用于将域控制器命名为复制源的配置选项,或者你可以将任何域控制器用作复制源。
如果使用受 SYSKEY 保护的媒体,服务器管理器将在验证期间提示输入图像的密码。
其他选项 ADDSDeployment cmdlet 参数是:
-replicationsourcedc <string> -installationmediapath <string> -systemkey <secure string>
例如:
# # Windows PowerShell Script for AD DS Deployment # Import-Module ADDSDeployment Install-ADDSDomainController ` -Credential (Get-Credential) ` -CriticalReplicationOnly:$false ` -DatabasePath "C:\Windows\NTDS" ` -DomainName "corp.contoso.com" ` -LogPath "C:\Windows\NTDS" ` -SYSVOLPath "C:\Windows\SYSVOL" ` -UseExistingAccount:$true ` -Norebootoncompletion:$false -Force:$true
|
|
|---|
|
若要强制确认提示,请在以交互方式运行 cmdlet 时省略该值 |
这使你可以查看 cmdlet 的参数的显式和隐式值。
此新阶段验证服务器配置是否能够支持新的 AD DS 林。
域控制器安装进程在所有先决条件测试通过前无法继续。
先决条件检查。
使用服务器管理器时你无法绕过“先决条件检查”,但是你可以在使用 AD DS 部署 cmdlet 时使用以下参数跳过该进程:
-skipprechecks
|
|
|---|
|
Microsoft 不鼓励跳过先决条件检查,因为它可能导致部分域控制器升级或 AD DS 林损坏。 |
无论升级结果如何,计算机将在升级结束时自动重新启动。
详细操作显示在此页面上并将写入日志:
-
%systemroot%\debug\dcpromo.log
-
%systemroot%\debug\dcpromoui.log
若要使用 ADDSDeployment 模块安装新的 Active Directory 林,请使用以下 cmdlet:
Install-addsdomaincontroller
附加 RODC Windows PowerShell 以了解必需和可选参数。
Install-ADDSDomainController 如何提醒你升级将自动重新启动服务器,就像服务器管理器一样:
-norebootoncompletion 参数。
|
|
|---|
|
域控制器必须重新启动才能正常工作。 |
下图说明了以下情况中的 Active Directory 域服务配置过程:你以前安装了 AD DS 角色,并已使用服务器管理器启动 Active Directory 域服务配置向导,以在现有 Windows Server 2012 域中创建新的非分步只读域控制器。
|
ADDSDeployment Cmdlet |
斜体参数可以通过使用 Windows PowerShell 或 AD DS 配置向导来指定。) |
|
Install-AddsDomainController |
-SkipPreChecks -DomainName -SafeModeAdministratorPassword -SiteName -ApplicationPartitionsToReplicate -CreateDNSDelegation -Credential -CriticalReplicationOnly -DatabasePath -DNSDelegationCredential -DNSOnNetwork -InstallationMediaPath -InstallDNS -LogPath -MoveInfrastructureOperationMasterRoleIfNecessary -NoGlobalCatalog -Norebootoncompletion -ReplicationSourceDC -SkipAutoConfigureDNS -SystemKey -SYSVOLPath -AllowPasswordReplicationAccountName -DelegatedAdministratorAccountName -DenyPasswordReplicationAccountName -ReadOnlyReplica |
|
|
|---|
|
-credential 参数。 |
其余选项和必填字段在此页面和后续页面上会有所变化,这视所选部署操作而定。
服务器管理器自动提示你提供有效的凭据,或者你可以单击“更改”。
如果当前凭据没有足够权限或组成员身份,Active Directory 域服务配置向导将在稍后给出提示。
部署配置 ADDSDeployment Windows PowerShell cmdlet 和参数是:
Install-AddsDomainController -domainname <string> -credential <pscredential>
始终默认选中 GC;如果当前域托管的 DNS 已在其 DC 上(基于起始授权机构查询),则默认选中 DNS 服务器。
如果只有一个站点,将自动选择该站点。
|
|
|---|
|
如果该服务器不属于 Active Directory 子网,并且有多个 Active Directory 站点,则不选择任何内容且“下一步”按钮不可用,直到你从列表选择一个站点。 |
域控制器选项 ADDSDeployment Windows PowerShell 参数是:
-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>
|
|
|---|
|
new-adreplicationsite 创建新站点。 |
Install-ADDSDomainController 参数使用与服务器管理器相同的默认值(如果未指定)。
SafeModeAdministratorPassword 参数的操作是特殊操作:
-
以交互方式运行 cmdlet 时,这是首选用法。
例如,要在 corp.contoso.com 中创建新的 RODC,并且收到输入并确认掩蔽密码的提示:
Install-ADDSDomainController –DomainName corp.contoso.com –credential (get-credential)
-
以交互方式运行 cmdlet 时,这不是首选用法。
Read-Host cmdlet 提示用户提供安全字符串来手动提示输入密码:
-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)
|
|
|---|
|
由于上个选项未确认密码,请务必十分谨慎:密码不可见。 |
你还可以提供安全字符串作为转换的明文变量,尽管强烈不建议这样做。
-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
例如:
$file = "c:\pw.txt" $pw = read-host -prompt "Password:" -assecurestring $pw | ConvertFrom-SecureString | Set-Content $file -safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
|
|
|---|
|
最佳实践是完全避免密码存储。 |
“RODC 选项”页支持你修改设置:
-
委派的管理员帐户
-
允许将密码复制到 RODC 的帐户
-
拒绝将密码复制到 RODC 的帐户
不需要配置管理委派。
等效 ADDSDeployment Windows PowerShell 参数是:
-delegatedadministratoraccountname <string>
不被允许在 RODC 上缓存密码并且无法连接并身份验证到可写域控制器的帐户无法访问 Active Directory 提供的资源或功能。
|
|
|---|
|
如果未修改,则使用默认组和设置:
|
等效 ADDSDeployment Windows PowerShell 参数是:
-allowpasswordreplicationaccountname <string []> -denypasswordreplicationaccountname <string []>
“其他选项”页面提供用于将域控制器命名为复制源的配置选项,或者你可以将任何域控制器用作复制源。
如果使用受 SYSKEY 保护的媒体,服务器管理器将在验证期间提示输入图像的密码。
其他选项 ADDSDeployment cmdlet 参数是:
-replicationsourcedc <string> -installationmediapath <string> -systemkey <secure string>
例如,如果你将新副本域控制器添加到现有 Windows Server 2012 目录林根级域,Active Directory 域服务配置向导将取消此页面。
此页面只是为了使你注意到稍后将在安装中发生的事件。
如果该页面通知你当前凭据未提供足够的权限,单击“更改”以提供足够的用户凭据。
“其他选项”ADDSDeployment cmdlet 参数是:
-adprepcredential <pscredential>
|
|
|---|
|
Adprep.exe 不自动运行 /gpprep,因为它的操作可能导致 SYSVOL 文件夹中的所有文件和文件夹在所有域控制器上重新复制。 adprep.exe /rodcprep。 |
此页只是让你先查看和确认设置,然后再继续配置。
例如:
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSDomainController `
-AllowPasswordReplicationAccountName @("CORP\Allowed RODC Password Replication Group", "CORP\Chicago RODC Admins", "CORP\Chicago RODC Users and Computers") `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath "C:\Windows\NTDS" `
-DelegatedAdministratorAccountName "CORP\Chicago RODC Admins" `
-DenyPasswordReplicationAccountName @("BUILTIN\Administrators", "BUILTIN\Server Operators", "BUILTIN\Backup Operators", "BUILTIN\Account Operators", "CORP\Denied RODC Password Replication Group") `
-DomainName "corp.contoso.com" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-ReadOnlyReplica:$true `
-SiteName "Default-First-Site-Name" `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true
|
|
|---|
|
若要强制执行确认提示,则在以交互方式运行 cmdlet 时省略该值。 |
这使你可以查看 cmdlet 的参数的显式和隐式值。
此新阶段验证服务器配置是否能够支持新的 AD DS 林。
域控制器进程在所有先决条件测试通过前无法继续。
“先决条件检查”还显示相关的信息,例如影响较早版本的操作系统的安全性更改。
使用服务器管理器时你无法绕过“先决条件检查”,但是你可以在使用 AD DS 部署 cmdlet 时使用以下参数跳过该进程:
-skipprechecks
无论升级结果如何,计算机将在升级结束时自动重新启动。
详细操作显示在此页面上并将写入日志:
-
%systemroot%\debug\dcpromo.log
-
%systemroot%\debug\dcpromoui.log
若要使用 ADDSDeployment 模块安装新的 Active Directory 林,请使用以下 cmdlet:
Install-addsdomaincontroller
有关必需和可选参数,请参阅此部分开头的“ADDSDeployment Cmdlet”表。
Install-ADDSDomainController 如何提醒你升级将自动重新启动服务器,就像服务器管理器一样:
-norebootoncompletion 参数。
|
|
|---|
|
如果注销域控制器,则你无法以交互方式重新登录,直到重新启动它。 |