Este tópico explica o novo recurso de promoção de controlador de domínio do Active Directory Domain Services do Windows Server 2012 em um nível introdutório. No Windows Server 2012, o AD DS substitui a ferramenta Dcpromo por um Gerenciador de Servidores e pelo sistema de implantação baseado no Windows PowerShell.

  • Serviços de domínio do Active Directory Administração simplificada
  • Visão Geral Técnica
  • Implantando uma floresta com o Gerenciador de servidores
  • Implantando uma floresta com o Windows PowerShell

Serviços de domínio do Active Directory Administração simplificada

O Windows Server 2012 apresenta a próxima geração de Administração de Serviços de Domínio Active Directory Administração Simplificada e é o domínio mais radical que prevê novamente desde o Windows 2000 Server. A administração simplificada do AD DS adota as lições aprendidas com doze anos do Active Directory e oferece uma experiência administrativa mais suportável, flexível e intuitiva para arquitetos e administradores. Isso significava criar novas versões de tecnologias existentes, bem como estender os recursos dos componentes lançados no Windows Server 2008 R2.

O que é AD DS administração simplificada?

AD DS Simplified Administration é uma reimaginação da implantação de domínio. Alguns desses recursos incluem:

  • A implantação de funções do AD DS agora faz parte da nova arquitetura do Gerenciador de Servidores e permite a instalação remota.
  • O mecanismo de implantação e configuração do AD DS agora é o Windows PowerShell, mesmo quando você usa uma configuração gráfica.
  • A promoção agora inclui verificação de pré-requisito que valida a disponibilidade de floresta e domínio para o novo controlador de domínio, diminuindo a chance de promoções com falha.
  • O nível funcional de floresta do Windows Server 2012 não implementa novos recursos e o nível funcional do domínio é necessário somente para um subconjunto de novos recursos do Kerberos, aliviando os administradores da necessidade freqüente de um ambiente de controlador de domínio homogêneo.

Objetivo e Benefícios

Essas mudanças podem parecer mais complexas, não mais simples. No redesenho do processo de implantação do AD DS, porém, houve a oportunidade de unir muitas etapas e melhores práticas em menos ações mais simples. Isso significa, por exemplo, que a configuração gráfica de um novo controlador de domínio de réplica é agora oito diálogos ao invés dos doze anteriores. A criação de uma nova floresta do Active Directory requer um único comando do Windows PowerShell com apenas um argumento: o nome do domínio.

Por que há tanta ênfase no Windows PowerShell no Windows Server 2012? À medida que a computação distribuída evolui, o Windows PowerShell permite um único mecanismo para configuração e manutenção a partir de interfaces gráficas e de linha de comando. Ele permite o script completo de qualquer componente com a mesma cidadania de primeira classe para um profissional de TI que uma API concede aos desenvolvedores. À medida que a computação baseada na nuvem se torna onipresente, o Windows PowerShell finalmente traz a capacidade de administrar remotamente um servidor, onde um computador sem interface gráfica tem as mesmas capacidades de gerenciamento que um com um monitor e um mouse.

Um veterano AD DS administrador deve encontrar o seu conhecimento anterior altamente relevantes. Um administrador de início encontrará uma curva de aprendizagem muito mais rasa.

Visão Geral Técnica

O que você deve saber antes de começar

Este tópico pressupõe familiaridade com versões anteriores dos Serviços de Domínio do Active Directory e não fornece detalhes fundamentais em torno de sua finalidade e funcionalidade. Para obter mais informações sobre o AD DS, consulte as páginas do TechNet Portal relacionadas abaixo:

  • Serviços de Domínio do Active Directory para Windows Server 2008 R2
  • Serviços de Domínio Active Directory para Windows Server 2008
  • Referência técnica do Windows Server

Descrições Funcionais

Instalação do papel do AD DS

Instalar uma nova floresta

A instalação dos Serviços de Domínio Active Directory usa o Gerenciador de Servidores eo Windows PowerShell, como todas as outras funções e recursos do servidor no Windows Server 2012. O programa Dcpromo.exe não fornece mais opções de configuração GUI.

Você usa um assistente gráfico no Gerenciador de Servidores ou no módulo ServerManager para Windows PowerShell em instalações locais e remotas. Ao executar várias instâncias desses assistentes ou cmdlets e segmentar servidores diferentes, você pode implantar o AD DS em vários controladores de domínio simultaneamente, tudo a partir de um único console. Embora esses novos recursos não sejam compatíveis com o Windows Server 2008 R2 ou sistemas operacionais anteriores, você também pode usar o aplicativo Dism.exe introduzido no Windows Server 2008 R2 para instalação de função local a partir da linha de comando clássica.

Instalar uma nova floresta

Configuração de função do AD DS

Instalar uma nova floresta

A configuração dos Serviços de Domínio Active Directory “anteriormente conhecida como DCPROMO” é agora uma operação discreta de instalação de função. Depois de instalar a função AD DS, um administrador configura o servidor como um controlador de domínio usando um assistente separado no Gerenciador de Servidores ou usando o módulo ADDSDeployment do Windows PowerShell.

A configuração de função do AD DS se baseia em doze anos de experiência de campo e agora configura controladores de domínio com base nas práticas recomendadas mais recentes da Microsoft. Por exemplo, o Sistema de Nomes de Domínio e Catálogos Globais instalam por padrão em cada controlador de domínio.

O assistente de configuração do Gerenciador de Servidores AD DS mescla muitas caixas de diálogo individuais em menos prompts e não mais oculta as configurações em um modo “avançado”. Todo o processo de promoção está em uma caixa de diálogo de expansão durante a instalação. O assistente eo módulo ADDSDeployment do Windows PowerShell mostram mudanças notáveis e preocupações de segurança, com links para mais informações.

O Dcpromo.exe permanece no Windows Server 2012 apenas para instalações autônomas de linha de comando e não executa mais o assistente de instalação gráfica. É altamente recomendável que você interromper o uso de Dcpromo.exe para instalações autônomas e substituí-lo com o módulo ADDSDeployment, como o executável now-deprecated não será incluído na próxima versão do Windows.

Esses novos recursos não são compatíveis com versões anteriores para o Windows Server 2008 R2 ou sistemas operacionais mais antigos.

Instalar uma nova floresta

Importante

Dcpromo.exe já não contém um assistente gráfico e já não instala binários função ou recurso. A tentativa de executar Dcpromo.exe a partir do shell Explorer retorna:

“O Assistente de Instalação dos Serviços de Domínio do Active Directory é realocado no Gerenciador de Servidores. Para obter mais informações, consulte http://go.microsoft.com/fwlink/?LinkId=220921 .”

Tentando executar Dcpromo.exe / unattend ainda instala os binários, como em sistemas operacionais anteriores, mas avisa:

“A operação autônoma dcpromo é substituída pelo módulo ADDSDeployment para o Windows PowerShell. Para obter mais informações, consulte http://go.microsoft.com/fwlink/?LinkId=220924 .”

O Windows Server 2012 deprecia dcpromo.exe e não será incluído em versões futuras do Windows, nem receberá mais aprimoramentos neste sistema operacional. Os administradores devem interromper o uso e alternar para os módulos suportados do Windows PowerShell se desejarem criar controladores de domínio a partir da linha de comando.

Verificação pré-requisito

A configuração do controlador de domínio também implementa uma fase de verificação de pré-requisito que avalia a floresta eo domínio antes de continuar com a promoção do controlador de domínio. Isso inclui a disponibilidade de função FSMO, privilégios de usuário, compatibilidade com esquema estendido e outros requisitos. Este novo design alivia problemas onde a promoção do controlador de domínio começa e, em seguida, pára a meio caminho com um erro de configuração fatal. Isso diminui a chance de metadados de controlador de domínio órfão na floresta ou um servidor que incorretamente acredita que é um controlador de domínio.

Implantando uma floresta com o Gerenciador de servidores

Esta seção explica como instalar o primeiro controlador de domínio em um domínio raiz da floresta usando o Gerenciador de Servidores em um computador gráfico Windows Server 2012.

Gerenciamento de Servidores Processo de Instalação de Função AD DS

O diagrama abaixo ilustra o processo de instalação da função Serviços de Domínio Active Directory, começando com você executando o ServerManager.exe e terminando logo antes da promoção do controlador de domínio.

Instalar uma nova floresta

Pool de Servidores e Adicionar Funções

Quaisquer computadores do Windows Server 2012 acessíveis a partir do computador que executa o Gerenciador de Servidores são elegíveis para o pool. Uma vez agrupados, você seleciona os servidores para instalação remota do AD DS ou qualquer outra opção de configuração possível no Gerenciador de Servidores.

Para adicionar servidores, escolha uma das seguintes opções:

  • Clique em Adicionar outros servidores para gerenciar no painel de boas-vindas do painel de controle
  • Clique no menu Gerenciar e selecione Adicionar Servidores
  • Clique com o botão direito do mouse em Todos os servidores e escolha Adicionar servidores

Isso abre o diálogo Adicionar Servidores:

Instalar uma nova floresta

Isso fornece três maneiras de adicionar servidores ao pool para uso ou agrupamento:

  • Pesquisa no Active Directory (usa LDAP, requer que os computadores pertençam a um domínio, permitam a filtragem do sistema operacional e suportam curingas)
  • Pesquisa DNS (usa alias DNS ou endereço IP via transmissão ARP ou NetBIOS ou pesquisa WINS, não permite a filtragem do sistema operacional ou caracteres de suporte)
  • Importar (usa uma lista de arquivos de texto de servidores separados por CR / LF)

Clique em Localizar agora para retornar uma lista de servidores do mesmo domínio do Active Directory ao qual o computador está associado. Clique em um ou mais nomes de servidor na lista de servidores. Clique na seta para a direita para adicionar os servidores à lista Selected . Use a caixa de diálogo Adicionar Servidores para adicionar servidores selecionados aos grupos de função do painel. Ou clique em Gerenciar e, em seguida, clique em Criar grupo de servidores ou clique em Criar grupo de servidores no painel Bem-vindo ao painel Gerenciador de servidores para criar grupos de servidores personalizados.

Nota

O procedimento Add Servers não valida que um servidor está on-line ou acessível. No entanto, qualquer sinalizadores de servidores inacessíveis na vista Manageability no Server Manager na próxima actualização

Você pode instalar funções remotamente em qualquer computador Windows Server 2012 adicionado ao pool, conforme mostrado:

Instalar uma nova floresta

Você não pode gerenciar servidores com sistemas operacionais anteriores ao Windows Server 2012. A seleção Adicionar Funções e Recursos está sendo executada no WindowsManager do Windows PowerShell Module Install-WindowsFeature .

Instalar uma nova floresta

Você também pode usar o Painel do Gerenciador do Servidor em um controlador de domínio existente para selecionar a instalação do AD DS do servidor remoto com a função já pré-selecionada clicando com o botão direito do mouse no painel AD DS e selecionando Adicionar AD DS a Outro Servidor . Isso está invocando Install-WindowsFeature AD-Domain-Services .

O computador em que você está executando o Gerenciador de servidores se agrupa automaticamente. Para instalar a função AD DS aqui, basta clicar no menu Gerenciar e clicar em Adicionar Funções e Recursos .

Instalar uma nova floresta

Tipo de instalação

Instalar uma nova floresta

A caixa de diálogo Tipo de Instalação fornece uma opção que não oferece suporte aos Serviços de Domínio do Active Directory: a instalação baseada em cenário de Serviços de Área de Trabalho Remota . Essa opção só permite o Remote Desktop Service em uma carga de trabalho distribuída com vários servidores. Se você selecioná-lo, o AD DS não poderá instalar.

Sempre deixe a seleção padrão no local ao instalar o AD DS: Instalação baseada em função ou baseada em recursos .

Seleção de servidor

Instalar uma nova floresta

A caixa de diálogo Seleção de servidor permite que você escolha um dos servidores anteriormente adicionados ao pool, desde que seja acessível. O servidor local que está executando o Gerenciador de Servidores está automaticamente disponível.

Além disso, você pode selecionar arquivos Hyper-V VHD offline com o sistema operacional Windows Server 2012 e o Gerenciador de Servidores adiciona a função a eles diretamente através da manutenção de componentes. Isso permite provisionar os servidores virtuais com os componentes necessários antes de configurá-los.

Funções e recursos do servidor

Instalar uma nova floresta

Selecione a função Serviços de Domínio Active Directory se você pretende promover um controlador de domínio. Todos os recursos de administração do Active Directory e os serviços necessários são instalados automaticamente, mesmo que eles aparentemente façam parte de outra função ou não apareçam selecionados na interface do Gerenciador de Servidores.

O Gerenciador de Servidores também apresenta uma caixa de diálogo informativa que mostra quais recursos de gerenciamento esta função implícitamente instala; Isso é equivalente ao argumento -IncludeManagementTools .

Instalar uma nova floresta

Instalar uma nova floresta

Recursos adicionais podem ser adicionados aqui como desejado.

Serviços de Domínio Active Directory

Instalar uma nova floresta

A caixa de diálogo Serviços de Domínio do Active Directory fornece informações limitadas sobre requisitos e práticas recomendadas. Ele funciona principalmente como uma confirmação de que você escolheu a função AD DS “se essa tela não aparecer, você não selecionou AD DS.

Confirmação

Instalar uma nova floresta

A caixa de diálogo de confirmação é o ponto de verificação final antes do início da instalação das funções. Ele oferece uma opção para reiniciar o computador conforme necessário após a instalação da função, mas a instalação do AD DS não requer uma reinicialização.

Ao clicar em Instalar , você confirma que está pronto para iniciar a instalação de funções. Não é possível cancelar uma instalação de função assim que ela começar.

Resultados

Instalar uma nova floresta

O diálogo Resultados mostra o progresso atual da instalação e o status atual da instalação. Instalação de função continua independentemente se Server Manager é fechado.

A verificação dos resultados da instalação ainda é uma prática recomendada. Se fechar a caixa de diálogo Resultados antes da conclusão da instalação, pode verificar os resultados utilizando o sinalizador de notificação do Gestor de servidores. O Gerenciador de Servidores também mostra uma mensagem de aviso para todos os servidores que instalaram a função de AD DS, mas que não foram configurados como controladores de domínio.

Notificações de tarefas

Instalar uma nova floresta

AD DS Detalhes

Instalar uma nova floresta

Detalhes da Tarefa

Instalar uma nova floresta

Promover ao controlador de domínio

Instalar uma nova floresta

No final da instalação da função AD DS, você pode continuar com a configuração usando o link Promover este servidor para um controlador de domínio . Isso é necessário para tornar o servidor um controlador de domínio, mas não é necessário executar o assistente de configuração imediatamente. Por exemplo, você só pode querer provisionar servidores com os binários do AD DS antes de enviá-los para outra filial para configuração posterior. Ao adicionar a função AD DS antes do envio, você economiza tempo quando atinge seu destino. Você também seguir a melhor prática de não manter um controlador de domínio offline por dias ou semanas. Finalmente, isso permite que você atualize os componentes antes da promoção do controlador de domínio, salvando pelo menos uma reinicialização subseqüente.

A seleção desse link mais tarde chama os cmdlets ADDSDeployment: install-addsforest , install-addsdomain ou install-addsdomaincontroller .

Desinstalação / desativação

Você remove o papel do AD DS como qualquer outra função, independentemente de ter promovido o servidor a um controlador de domínio. No entanto, a remoção da função do AD DS requer uma reinicialização após a conclusão.

A remoção da função de Serviços de Domínio do Active Directory é diferente da instalação, na medida em que requer a desmoção do controlador de domínio antes que ela possa ser concluída. Isso é necessário para impedir que um controlador de domínio tenha seus binários de função desinstalados sem a limpeza adequada de metadados na floresta. Para obter mais informações, consulte Demoting domain controladores e domínios (Nível 200) .

Atenção

A remoção das funções do AD DS com Dism.exe ou o módulo DISM do Windows PowerShell após a promoção para um controlador de domínio não é suportada e impedirá que o servidor inicialize normalmente.

Ao contrário do Gerenciador de Servidores ou do módulo de implantação do AD DS para Windows PowerShell, o DISM é um sistema de manutenção nativo que não possui nenhum conhecimento inerente ao AD DS ou sua configuração. Não use Dism.exe ou o módulo Windows PowerShell DISM para desinstalar a função AD DS, a menos que o servidor não seja mais um controlador de domínio.

Criar um domínio raiz de floresta do AD DS com o Gerenciador de servidores

O diagrama a seguir ilustra o processo de configuração dos Serviços de Domínio Active Directory, no caso de você ter instalado anteriormente a função AD DS e iniciado o Assistente de Configuração de Serviços de Domínio Active Directory usando o Gerenciador de Servidores .

Instalar uma nova floresta

Configuração de Implantação

Instalar uma nova floresta

O Gerenciador de Servidores inicia cada promoção de controlador de domínio com a página Configuração de implantação . As opções restantes e os campos necessários são alterados nessa página e nas páginas subseqüentes, dependendo da operação de implantação selecionada.

Para criar uma nova floresta do Active Directory, clique em Adicionar uma nova floresta . Você deve fornecer um nome de domínio raiz válido; O nome não pode ser rotulado individualmente (por exemplo, o nome deve ser contoso.com ou similar e não apenas contoso ) e deve usar os requisitos de nomeação de domínio DNS permitido.

Para obter mais informações sobre nomes de domínio válidos, consulte o artigo da KB Convenções de nomenclatura no Active Directory para computadores, domínios, sites e OUs .

Atenção

Não crie novas florestas do Active Directory com o mesmo nome de um nome DNS externo. Por exemplo, se o URL de DNS da Internet for http://contoso.com , você deve escolher um nome diferente para sua floresta interna para evitar futuros problemas de compatibilidade. Esse nome deve ser único e improvável para o tráfego da web. Por exemplo: corp.contoso.com.

Uma nova floresta não precisa de novas credenciais para a conta de administrador do domínio. O processo de promoção do controlador de domínio utiliza as credenciais da conta de administrador incorporada a partir do primeiro controlador de domínio utilizado para criar a raiz da floresta. Não há nenhuma maneira (por padrão) para desabilitar ou bloquear a conta Administrador interna e pode ser o único ponto de entrada em uma floresta se as outras contas de domínio administrativo são inutilizáveis. É fundamental conhecer a senha antes de implantar uma nova floresta.

DomainName requer um nome DNS de domínio totalmente qualificado válido e é necessário.

Opções do controlador de domínio

Instalar uma nova floresta

As Opções do controlador de domínio permitem configurar o nível funcional da floresta eo nível funcional do domínio para o novo domínio raiz da floresta. Por padrão, essas configurações são o Windows Server 2012 em um novo domínio raiz da floresta. O nível funcional de floresta do Windows Server 2012 não fornece nenhuma nova funcionalidade sobre o nível funcional da floresta do Windows Server 2008 R2. O nível funcional de domínio do Windows Server 2012 é necessário apenas para implementar as novas configurações do Kerberos “sempre fornecer declarações” e “Falhar solicitações de autenticação desarmadas”. Um uso principal para níveis funcionais no Windows Server 2012 é restringir a participação no domínio aos controladores de domínio que atendam aos requisitos de sistema operacional mínimo permitidos. Em outras palavras, você pode especificar o nível funcional de domínio do Windows Server 2012 somente os controladores de domínio que executam o Windows Server 2012 podem hospedar o domínio. O Windows Server 2012 implementa um novo controlador de domínio chamado DS_WIN8_REQUIRED na função DSGetDcName do NetLogon que localiza exclusivamente os controladores de domínio do Windows Server 2012. Isso permite a flexibilidade de uma floresta mais homogênea ou heterogênea em termos de quais sistemas operacionais podem ser executados em controladores de domínio.

Para obter mais informações sobre a localização do controlador de domínio, consulte Funções de serviço de diretório .

A única capacidade de controlador de domínio configurável é a opção de servidor DNS. A Microsoft recomenda que todos os controladores de domínio forneçam serviços de DNS para alta disponibilidade em ambientes distribuídos, razão pela qual esta opção é seleccionada por predefinição ao instalar um controlador de domínio em qualquer modo ou domínio. As opções de Catálogo Global e de somente leitura de controlador de domínio não estão disponíveis ao criar um novo domínio raiz de floresta; O primeiro controlador de domínio deve ser um GC e não pode ser um controlador de domínio somente leitura (RODC).

A Senha do Modo de Restauração dos Serviços de Diretório especificada deve seguir a diretiva de senha aplicada ao servidor, que por padrão não requer uma senha forte; Apenas um não em branco. Sempre escolha uma senha forte e complexa ou, de preferência, uma senha.

DNS e credenciais de delegação de DNS

Instalar uma nova floresta

A página Opções de DNS permite configurar a delegação DNS e fornecer credenciais administrativas DNS alternativas.

Não é possível configurar opções de DNS ou delegação no Assistente de configuração de serviços de domínio do Active Directory ao instalar um novo domínio raiz de floresta do Active Directory onde você selecionou o servidor DNS na página Opções de controlador de domínio . A opção Criar delegação de DNS está disponível ao criar uma nova zona de DNS de raiz da floresta em uma infra-estrutura de servidor DNS existente. Esta opção permite que você forneça credenciais administrativas DNS alternativas que tenham os direitos para atualizar a zona DNS.

Para obter mais informações sobre se você precisa criar uma delegação de DNS, consulte Entendendo a delegação de zona .

Opções adicionais

Instalar uma nova floresta

A página Additional Options (Opções adicionais ) mostra o nome NetBIOS do domínio e permite que você o substitua . Por padrão, o nome de domínio NetBIOS corresponde à etiqueta mais à esquerda do nome de domínio totalmente qualificado fornecido na página Configuração de implantação . Por exemplo, se você forneceu o nome de domínio totalmente qualificado de corp.contoso.com, o nome de domínio NetBIOS padrão é CORP.

Se o nome for 15 caracteres ou menos e não estiver em conflito com outro nome NetBIOS, é inalterado. Se ele entrar em conflito com outro nome NetBIOS, um número é anexado ao nome. Se o nome tiver mais de 15 caracteres, o assistente fornece uma sugestão única e truncada. Em ambos os casos, o assistente primeiro valida o nome não está já em uso por meio de uma pesquisa WINS e transmissão NetBIOS.

Para obter mais informações sobre nomes de domínio válidos, consulte o artigo da KB Convenções de nomenclatura no Active Directory para computadores, domínios, sites e OUs .

Caminhos

Instalar uma nova floresta

A página Caminhos permite substituir os locais de pasta padrão do banco de dados do AD DS, os logs de transações do banco de dados eo compartilhamento SYSVOL. Os locais padrão estão sempre em subdiretórios de% systemroot% (ie C: \ Windows).

Opções de revisão e exibição de script

Instalar uma nova floresta

A página Opções de revisão permite validar suas configurações e garantir que elas atendam aos seus requisitos antes de iniciar a instalação. Esta não é a última oportunidade para parar a instalação quando utilizar Server Manager. Esta é simplesmente uma opção para confirmar as suas definições antes de continuar a configuração

A página Opções de revisão no Gerenciador de Servidores também oferece um botão View Script opcional para criar um arquivo de texto Unicode que contém a configuração ADDSDeployment atual como um único script do Windows PowerShell. Isso permite que você use a interface gráfica do Gerenciador de Servidores como um estúdio de implantação do Windows PowerShell. Use o Assistente de configuração de serviços de domínio do Active Directory para configurar opções, exportar a configuração e cancelar o assistente. Este processo cria uma amostra válida e sintaticamente correta para modificação posterior ou uso direto. Por exemplo:

# # Windows PowerShell Script for AD DS Deployment # Import-Module ADDSDeployment Install-ADDSForest ` -CreateDNSDelegation ` -DatabasePath "C:\Windows\NTDS" ` -DomainMode "Win2012" ` -DomainName "corp.contoso.com" ` -DomainNetBIOSName "CORP" ` -ForestMode "Win2012" ` -InstallDNS:$true ` -LogPath "C:\Windows\NTDS" ` -NoRebootOnCompletion:$false ` -SYSVOLPath "C:\Windows\SYSVOL" -Force:$true
Nota

O Gerenciador de Servidores geralmente preenche todos os argumentos com valores ao promover e não depende de padrões (como eles podem mudar entre futuras versões do Windows ou service packs). A única exceção é o argumento -safemodeadministratorpassword (que é deliberadamente omitido do script). Para forçar um prompt de confirmação, omita o valor ao executar o cmdlet interativamente.

Verificação de pré-requisitos

Instalar uma nova floresta

A verificação de pré-requisitos é um novo recurso na configuração de domínio do AD DS. Esta nova fase confirma que a configuração do servidor é capaz de suportar uma nova floresta do AD DS.

Ao instalar um novo domínio raiz de floresta, o Assistente de Configuração de Serviços de Domínio Active Directory do Gerenciador de Servidores chama uma série de testes modulares. Esses testes alertam você com as opções de reparo sugeridas. Você pode executar os testes quantas vezes for necessário. O processo do controlador de domínio não pode continuar até que todos os testes de pré-requisito passem.

A verificação Pré-requisitos também exibe informações relevantes, como alterações de segurança que afetam sistemas operacionais mais antigos.

Para obter mais informações sobre as verificações de pré-requisitos específicas, consulte Verificação de pré-requisitos .

Instalação

Instalar uma nova floresta

Quando a página de instalação é exibida, a configuração do controlador de domínio começa e não pode ser interrompida ou cancelada. As operações detalhadas são exibidas nesta página e são gravadas nos logs:

  • % Systemroot% \ debug \ dcpromo.log
  • % Systemroot% \ debug \ dcpromoui.log
Nota

Você pode executar vários assistentes de configuração de função e de configuração do AD DS do mesmo console do Server Manager simultaneamente.

Resultados

Instalar uma nova floresta

A página Resultados mostra o sucesso ou o fracasso da promoção e quaisquer informações administrativas importantes. O controlador de domínio reiniciará automaticamente após 10 segundos.

Implantando uma floresta com o Windows PowerShell

Esta seção explica como instalar o primeiro controlador de domínio em um domínio raiz da floresta usando o Windows PowerShell em um computador Core Windows Server 2012.

Processo de instalação do Windows PowerShell AD DS

Ao implementar alguns cmdlets diretos de implantação do ServerManager em seus processos de implantação, você também percebe a visão da administração simplificada do AD DS.

A figura a seguir ilustra o processo de instalação de função de Serviços de Domínio Active Directory, começando com você executando o PowerShell.exe e terminando logo antes da promoção do controlador de domínio.

Instalar uma nova floresta

Cmdlet ServerManager Argumentos (os argumentos em negrito são necessários, os argumentos em itálico podem ser especificados usando o Windows PowerShell ou o Assistente de Configuração do AD DS).
Instalar-WindowsFeature / Add-WindowsFeature -Nome

-Reiniciar

-IncludeAllSubFeature

-IncludeManagementTools

-Fonte

-Nome do computador

-Credencial

-LogPath

Vhd

-ConfigurationFilePath

Nota

Embora não seja necessário , o argumento -IncludeManagementTools é altamente recomendado ao instalar os binários de função do AD DS

O módulo ServerManager expõe partes de instalação, status e remoção de função do novo módulo DISM para o Windows PowerShell. Esta camada simplifica a maioria das tarefas e reduz a necessidade de uso direto do módulo DISM poderoso (mas perigoso quando usado incorretamente).

Use Get-Command para exportar os aliases e cmdlets no ServerManager.

 Get-Command -module ServerManager

Por exemplo:

Instalar uma nova floresta

Para adicionar a função Serviços de Domínio Active Directory, basta executar o Install-WindowsFeature com o nome da função AD DS como um argumento . Como o Gerenciador de Servidores, todos os serviços necessários implícitos à função AD DS são instalados automaticamente.

 Install-WindowsFeature -name AD-Domain-Services

Se você também quiser que as ferramentas de gerenciamento do AD DS sejam instaladas – e isso é altamente recomendado – forneça o argumento -IncludeManagementTools :

 Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools

Por exemplo:

Instalar uma nova floresta

Para listar todos os recursos e funções com seu status de instalação, use Get-WindowsFeature sem argumentos.Especifique o argumento -ComputerName para o status de instalação de um servidor remoto.

 Get-WindowsFeature

Como Get-WindowsFeature não tem um mecanismo de filtragem, você deve usar o Where-Object com um pipeline para encontrar recursos específicos. O pipeline é um canal usado entre vários cmdlets para transmitir dados eo cmdlet Where-Object atua como um filtro. O built-in $ _ variável age como o objeto atual passando através do pipeline com quaisquer propriedades que pode conter.

 Get-WindowsFeature | where-object <options>

Por exemplo, para localizar todos os recursos que contêm “Active Dir” em sua propriedade Display Name , use:

 Get-WindowsFeature | where displayname -like "*active dir*"

Outros exemplos ilustrados abaixo:

Instalar uma nova floresta

Para obter mais informações sobre mais operações do Windows PowerShell com pipelines e Where-Object, consulte Piping eo Pipeline no Windows PowerShell .

Observe também que o Windows PowerShell 3.0 simplificou significativamente os argumentos de linha de comando necessários nesta operação de pipeline. O Windows PowerShell 2.0 teria exigido:

 Get-WindowsFeature | where {$_.displayname - like "*active dir*"}

Usando o pipeline do Windows PowerShell, você pode criar resultados legíveis. Por exemplo:

 Install-WindowsFeature | Format-List Install-WindowsFeature | select-object | Format-List

Instalar uma nova floresta

Observe como o uso do cmdlet Select-Object com o argumento -expandproperty retorna dados interessantes:

Instalar uma nova floresta

Nota

O argumento Select-Object -expandproperty diminui ligeiramente o desempenho geral da instalação.

Criar um domínio raiz de floresta do AD DS com o Windows PowerShell

Para instalar uma nova floresta do Active Directory usando o módulo ADDSDeployment, use o seguinte cmdlet:

 Install-addsforest

O cmdlet Install-AddsForest só tem duas fases (verificação de pré-requisito e instalação). As duas figuras abaixo mostram a fase de instalação com o argumento mínimo exigido de -domainname .

Cmdlet ADDSDeployment Argumentos (os argumentos em negrito são necessários, os argumentos em itálico podem ser especificados usando o Windows PowerShell ou o Assistente de Configuração do AD DS).
Install-Addsforest -Confirme

-CreateDNSDelegation

-DatabasePath

-DomainMode

-Nome do domínio

-DomainNetBIOSName

-DNSDelegationCredential

-ForestMode

-Força

-InstallDNS

-LogPath

-NoDnsOnNetwork

-NoRebootOnCompletion

-SafeModeAdministratorPassword

-SkipAutoConfigureDNS

-SkipPreChecks

-SYSVOLPath

-E se

Nota

O argumento -DomainNetBIOSName é necessário se você quiser alterar o nome de 15 caracteres automaticamente gerado com base no prefixo de nome de domínio DNS ou se o nome exceder 15 caracteres.

O cmdlet e os argumentos equivalentes do ADDSDeployment Configuration do Gerenciador do Servidor são:

 Install-ADDSForest -DomainName <string>

Os argumentos equivalentes do cmdlet ADDSDeployment do controlador de domínio Server Manager equivalentes são:

 -ForestMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}> -DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}> -InstallDNS <{$false | $true}> -SafeModeAdministratorPassword <secure string>

Os argumentos Install-ADDSForest seguem os mesmos padrões como Server Manager se não for especificado.

A operação do argumento SafeModeAdministratorPassword é especial:

  • Se não for especificado como um argumento , o cmdlet solicitará que você insira e confirme uma senha mascarada . Esse é o uso preferencial ao executar o cmdlet de forma interativa.

    Por exemplo, para criar uma nova floresta chamada corp.contoso.com e ser solicitado a digitar e confirmar uma senha mascarada:

     Install-ADDSForest "DomainName corp.contoso.com
  • Se especificado com um valor , o valor deve ser uma string segura. Este não é o uso preferencial ao executar o cmdlet interativamente.

Por exemplo, você pode solicitar manualmente uma senha usando o cmdlet Read-Host para solicitar ao usuário uma seqüência segura:

 -safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)
Atenção

Como a opção anterior não confirma a senha, use extrema cautela: a senha não está visível.

Você também pode fornecer uma seqüência de caracteres segura como uma variável de texto simples convertida, embora isso seja altamente desestimulado.

 -safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Finalmente, você pode armazenar a senha ofuscada em um arquivo e, em seguida, reutilizá-lo mais tarde, sem a senha de texto claro nunca aparecendo. Por exemplo:

 $file = "c:\pw.txt" $pw = read-host -prompt "Password:" -assecurestring $pw | ConvertFrom-SecureString | Set-Content $file -safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Atenção

Não é recomendável fornecer ou armazenar uma senha de texto clara ou ofuscada. Qualquer pessoa executando este comando em um script ou olhando por cima do ombro conhece a senha do DSRM desse controlador de domínio. Qualquer pessoa com acesso ao arquivo poderia reverter essa senha ofuscada. Com esse conhecimento, eles podem fazer logon em um DC iniciado no DSRM e, eventualmente, representar o próprio controlador de domínio, elevando seus privilégios para o nível mais alto em uma floresta do Active Directory. Um conjunto adicional de etapas usando System.Security.Cryptography para criptografar os dados do arquivo de texto é aconselhável, mas fora do escopo. A melhor prática é evitar totalmente o armazenamento de senhas.

O cmdlet ADDSDeployment oferece uma opção adicional para ignorar a configuração automática de configurações de cliente DNS, encaminhadores e dicas de raiz. Você não pode ignorar essa opção de configuração ao usar o Gerenciador de Servidores. Esse argumento é importante somente se você instalou a função Servidor DNS antes de configurar o controlador de domínio:

 -SkipAutoConfigureDNS

A operação DomainNetBIOSName também é especial:

  • Se o argumento DomainNetBIOSName não for especificado com um nome de domínio NetBIOS eo nome de domínio de prefixo de rótulo único no argumento DomainName é 15 caracteres ou menos, a promoção continua com um nome gerado automaticamente.
  • Se o argumento DomainNetBIOSName não for especificado com um nome de domínio NetBIOS eo nome de domínio de prefixo de rótulo único no argumento DomainName for 16 caracteres ou mais, a promoção falhará.
  • Se o argumento DomainNetBIOSName for especificado com um nome de domínio NetBIOS de 15 caracteres ou menos, a promoção continua com esse nome especificado.
  • Se o argumento DomainNetBIOSName for especificado com um nome de domínio NetBIOS de 16 caracteres ou mais, a promoção falhará.

O argumento equivalente do cmdlet ADDSDeployment do Gerenciador de Servidores equivalente é:

 -domainnetbiosname <string>

Os argumentos equivalentes do cmdlet ADDSDeployment Caminhos do Gerenciador do Servidor são:

 -databasepath <string> -logpath <string> -sysvolpath <string>

Use o argumento opcional Whatif com o cmdlet Install-ADDSForest para revisar as informações de configuração. Isso permite que você veja os valores explícitos e implícitos dos argumentos de um cmdlet.

Por exemplo:

Instalar uma nova floresta

Você não pode ignorar a verificação de pré-requisitos ao usar o Gerenciador de Servidores , mas pode ignorar o processo ao usar o cmdlet AD DS Deployment usando o seguinte argumento:

 -skipprechecks
Atenção

A Microsoft desencoraja ignorar a verificação de pré-requisito, pois pode levar a uma promoção parcial do controlador de domínio ou a uma floresta AD DS danificada.

Observe como, assim como o Gerenciador de Servidores , o Install-ADDSForest lembra que a promoção irá reinicializar o servidor automaticamente.

Instalar uma nova floresta

Instalar uma nova floresta

Para aceitar o prompt de reinicialização automaticamente, use os argumentos -force ou -confirm: $ false com qualquer cmdlet ADDSDeployment do Windows PowerShell. Para evitar que o servidor seja reinicializado automaticamente no final da promoção, use o argumento -norebootoncompletion .

Atenção

Substituir a reinicialização é desencorajado. O controlador de domínio tem de reiniciar para funcionar correctamente.

Anúncios