Установка нового леса Active Directory в Windows Server 2012 (уровень 200) Install a New Windows Server 2012 Active Directory Forest (Level 200)

Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этом разделе на базовом уровне описывается новая функция повышения роли контроллера домена в доменных службах Active Directory Windows Server 2012. This topic explains the new Windows Server 2012 Active Directory Domain Services domain controller promotion feature at an introductory level. В доменных службах Active Directory в Windows Server 2012 средство Dcpromo заменено диспетчером сервера и системой развертывания на основе Windows PowerShell. In Windows Server 2012, AD DS replaces the Dcpromo tool with a Server Manager and Windows PowerShell-based deployment system.

Упрощенное администрирование доменных служб Active Directory Active Directory Domain Services Simplified Administration

В Windows Server 2012 реализовано упрощенное администрирование доменных служб Active Directory нового поколения, которое представляет собой наиболее радикальную модернизацию системы управления доменами с момента выпуска Windows Server 2000. Windows Server 2012 introduces the next generation of Active Directory Domain Services Simplified Administration, and is the most radical domain re-envisioning since Windows 2000 Server. Упрощенное администрирование доменных служб Active Directory было разработано с учетом двенадцатилетнего опыта работы с Active Directory. Оно улучшает поддержку административных возможностей для архитекторов и администраторов, делает их более гибкими и интуитивно понятными. AD DS Simplified Administration takes lessons learned from twelve years of Active Directory and makes a more supportable, more flexible, more intuitive administrative experience for architects and administrators. Достигнуто это было путем создания новых версий существующих технологий, а также расширения возможностей компонентов, появившихся в Windows Server 2008 R2. This meant creating new versions of existing technologies as well as extending the capabilities of components released in Windows Server 2008 R2.

Что такое упрощенное администрирование доменных служб Active Directory? What Is AD DS Simplified Administration?

Упрощенное администрирование доменных служб Active Directory — это новый подход к развертыванию доменов. AD DS Simplified Administration is a reimagining of domain deployment. Ниже перечислены некоторые новые возможности. Some of those features include:

Развертывание роли доменных служб Active Directory теперь является частью архитектуры диспетчера сервера и допускает удаленную установку. AD DS role deployment is now part of the new Server Manager architecture and allows remote installation.

Модуль развертывания и настройки доменных служб Active Directory теперь основан на Windows PowerShell даже при использовании графического интерфейса установки. The AD DS deployment and configuration engine is now Windows PowerShell, even when using a graphical setup.

При повышении роли теперь проводится проверка предварительных требований, с помощью которой подтверждается готовность леса и домена к установке нового контроллера домена, что снижает вероятность сбоев. Promotion now includes prerequisite checking that validates forest and domain readiness for the new domain controller, lowering the chance of failed promotions.

В режиме работы леса Windows Server 2012 новые функции не реализуются, а режим работы домена необходим только для подмножества новых функций Kerberos, что упрощает создание однородных сред контроллеров доменов для администраторов. The Windows Server 2012 forest functional level does not implement new features and domain functional level is required only for a subset of new Kerberos features, relieving administrators of the frequent need for a homogenous domain controller environment.

Назначение и преимущества Purpose and Benefits

Может показаться, что эти изменения лишь повысили сложность. These changes may appear more complex, not simpler. Однако при переработке процесса развертывания доменных служб Active Directory появилась возможность объединить многие этапы и рекомендации, сократив число необходимых действий и упростив их. In redesigning the AD DS deployment process though, there was opportunity to coalesce many steps and best practices into fewer, easier actions. Это означает, например, что при настройке новой реплики контроллера домена с помощью графического интерфейса теперь требуются восемь диалоговых окон вместо двенадцати. This means, for example, that the graphical configuration of a new replica domain controller is now eight dialogs rather than the previous twelve. Для создания леса Active Directory требуется одна команда Windows PowerShell со всего лишь одним аргументом: именем домена. Creating a new Active Directory forest requires a single Windows PowerShell command with only one argument: the name of the domain.

Почему в Windows Server 2012 сделан упор на Windows PowerShell? Why is there such an emphasis on Windows PowerShell in Windows Server 2012? По мере развития распределенных вычислений среда Windows PowerShell обеспечивает единый модуль для настройки и обслуживания как с помощью графического интерфейса, так и с помощью интерфейса командной строки. As distributed computing evolves, Windows PowerShell allows a single engine for configuration and maintenance from both graphical and command-line interfaces. Она обеспечивает создание полнофункциональных сценариев для любого компонента, предоставляя ИТ-специалистам те же первоклассные возможности, какие интерфейсы API дают разработчикам. It permits fully featured scripting of any component with the same first class citizenship for an IT Professional that an API grants to developers. По мере широкого распространения облачных вычислений среда Windows PowerShell также дает возможность удаленного администрирования сервера. При этом компьютером без графического интерфейса можно управлять так же эффективно, как и компьютером с монитором и мышью. As cloud-based computing becomes ubiquitous, Windows PowerShell also finally brings the ability to remotely administer a server, where a computer with no graphical interface has the same management capabilities as one with a monitor and mouse.

Опытный администратор доменных служб Active Directory сможет с успехом применять накопленные знания. A veteran AD DS administrator should find their previous knowledge highly relevant. Для начинающего администратора кривая обучения стала гораздо более пологой. A beginning administrator will find a far shallower learning curve.

Технический обзор Technical Overview

Что следует знать перед началом работы What You Should Know Before You Begin

В этом разделе предполагается, что вы знакомы с предыдущими выпусками доменных служб Active Directory, поэтому в нем не приводятся базовые сведения об их назначении и функциональных возможностях. This topic assumes familiarity with previous releases of Active Directory Domain Services, and does not provide foundational detail around their purpose and functionality. Дополнительную информацию о доменных службах Active Directory можно найти на страницах портала TechNet, ссылки на которые приведены ниже: For more information about AD DS, see the TechNet Portal pages linked below:

Описания функций Functional Descriptions

Установка роли доменных служб Active Directory AD DS Role Installation

Для установки доменных служб Active Directory, так же как для установки всех остальных ролей сервера и компонентов в Windows Server 2012, используются диспетчер сервера и среда Windows PowerShell. Active Directory Domain Services installation uses Server Manager and Windows PowerShell, like all other server roles and features in Windows Server 2012. Программа Dcpromo.exe больше не предоставляет графический интерфейс пользователя с параметрами настройки. The Dcpromo.exe program no longer provides GUI configuration options.

Графический мастер в диспетчере сервера или модуль ServerManager для Windows PowerShell используются как для локальной, так и для удаленной установки. You use a graphical wizard in Server Manager or the ServerManager module for Windows PowerShell in both local and remote installations. Запуская несколько экземпляров этого мастера или командлетов для разных серверов, можно одновременно развертывать доменные службы Active Directory в нескольких контроллерах домена из единой консоли. By running multiple instances of those wizards or cmdlets and targeting different servers, you can deploy AD DS to multiple domain controllers simultaneously, all from one single console. Хотя эти новые функции не имеют обратной совместимости с Windows Server 2008 R2 или более ранними операционными системами, вы по-прежнему можете использовать программу Dism.exe, появившуюся в Windows Server 2008 R2, для локальной установки роли из классической командной строки. Although these new features are not backwards compatible with Windows Server 2008 R2 or earlier operating systems, you can also still use the Dism.exe application introduced in Windows Server 2008 R2 for local role installation from the classic command-line.

Настройка роли доменных служб Active Directory AD DS Role Configuration

Настройка служб домен Active Directory «ранее называлась DCPROMO» теперь является отдельной операцией при установке роли. Active Directory Domain Services configuration » previously known as DCPROMO » is a now a discrete operation from role installation. После установки роли доменных служб Active Directory администратор настраивает сервер в качестве контроллера домена с помощью отдельного мастера в диспетчере сервера или с помощью модуля Windows PowerShell ADDSDeployment. After installing the AD DS role, an administrator configures the server as a domain controller using a separate wizard within Server Manager or using the ADDSDeployment Windows PowerShell module.

Настройка роли доменных служб Active Directory осуществляется на основе двенадцатилетнего практического опыта. Контроллеры домена настраиваются в соответствии с новейшими рекомендациями Майкрософт. AD DS role configuration builds on twelve years of field experience and now configures domain controllers based on the most recent Microsoft best practices. Например, служба доменных имен (DNS) и глобальные каталоги устанавливаются по умолчанию в каждом контроллере домена. For example, Domain Name System and Global Catalogs install by default on every domain controller.

Мастер настройки диспетчер сервера AD DS объединяет множество отдельных диалоговых окон в меньшее количество запросов и больше не скрывает параметры в расширенном режиме. The Server Manager AD DS configuration wizard merges many individual dialogs into fewer prompts and no longer hides settings in an «advanced» mode. Весь процесс повышения роли осуществляется в ходе установки с помощью одного раскрывающегося диалогового окна. The entire promotion process is in one expanding dialog box during installation. Мастер и модуль Windows PowerShell ADDSDeployment выводят информацию о существенных изменениях и проблемах безопасности, а также ссылки на дополнительные материалы. The wizard and the ADDSDeployment Windows PowerShell module show you notable changes and security concerns, with links to further information.

Программа Dcpromo.exe сохранена в Windows Server 2012 только для автоматической установки посредством командной строки. Она больше не используется для запуска графического мастера установки. The Dcpromo.exe remains in Windows Server 2012 for command-line unattended installations only, and no longer runs the graphical installation wizard. Настоятельно рекомендуется отказаться от использования программы Dcpromo.exe в целях автоматической установки, заменив ее модулем ADDSDeployment, так как соответствующий исполняемый файл не будет включен в следующую версию Windows. It is highly recommended that you discontinue use of Dcpromo.exe for unattended installs and replace it with the ADDSDeployment module, as the now-deprecated executable will not be included in the next version of Windows.

Эти новые функции не имеют обратной совместимости с Windows Server 2008 R2 или более поздними операционными системами. These new features are not backwards compatible to Windows Server 2008 R2 or older operating systems.

Программа Dcpromo.exe больше не предоставляет графический мастер и не используется для установки двоичных файлов роли или компонента. Dcpromo.exe no longer contains a graphical wizard and no longer installs role or feature binaries. При попытке запустить Dcpromo.exe из проводника происходит ошибка: Attempting to run Dcpromo.exe from the Explorer shell returns:

«Мастер установки доменных служб Active Directory перемещается в диспетчер сервера. «The Active Directory Domain Services Installation Wizard is relocated in Server Manager. Дополнительные сведения см. в разделе https://go.microsoft.com/fwlink/?LinkId=220921 . For more information, see https://go.microsoft.com/fwlink/?LinkId=220921.»

При попытке выполнить команду Dcpromo.exe /unattend двоичные файлы по-прежнему устанавливаются, как в предыдущих операционных системах, но выводится предупреждение: Attempting to run Dcpromo.exe /unattend still installs the binaries, as in previous operating systems, but warns:

«Автоматическая операция Dcpromo заменена модулем Аддсдеплоймент для Windows PowerShell. «The dcpromo unattended operation is replaced by the ADDSDeployment module for Windows PowerShell. Дополнительные сведения см. в разделе https://go.microsoft.com/fwlink/?LinkId=220924 . For more information, see https://go.microsoft.com/fwlink/?LinkId=220924.»

В Windows Server 2012 использовать программу dcpromo.exe не рекомендуется. Она не будет включена в будущие версии Windows и не будет улучшаться далее в текущей. Windows Server 2012 deprecates dcpromo.exe and it will not be included with future versions of Windows, nor will it receive further enhancements in this operating system. Администраторам следует прекратить ее использование и перейти на поддерживаемые модули Windows PowerShell для создания контроллеров домена из командной строки. Administrators should discontinue its use and switch to the supported Windows PowerShell modules if they wish to create domain controllers from the command-line.

Проверка предварительных требований Prerequisite Checking

Настройка контроллера домена также включает этап проверки предварительных требований, на котором проводится оценка леса и домена перед повышением роли контроллера домена. Domain controller configuration also implements a prerequisite checking phase that evaluates the forest and domain prior to continuing with domain controller promotion. При этом проверяются доступность роли FSMO, права пользователей, совместимость расширенной схемы и другие требования. This includes FSMO role availability, user privileges, extended schema compatibility and other requirements. Новая структура процесса позволяет уменьшить число проблем, при которых повышение роли контроллера домена прерывается посередине из-за неустранимой ошибки конфигурации. This new design alleviates issues where domain controller promotion starts and then halts midway with a fatal configuration error. Это снижает вероятность образования потерянных метаданных контроллеров домена в лесу или возникновения серверов, которые считают себя контроллерами домена, хотя не являются ими. This lessens the chance of orphaned domain controller metadata in the forest or a server that incorrectly believes it is a domain controller.

Развертывание леса с использованием диспетчера серверов Deploying a Forest with Server Manager

В этом разделе описывается, как установить первый контроллер домена в корневом домене леса с помощью диспетчера сервера на компьютере Windows Server 2012 с графическим интерфейсом. This section explains how to install the first domain controller in a forest root domain using Server Manager on a graphical Windows Server 2012 computer.

Процесс установки роли доменных служб Active Directory с помощью диспетчера сервера Server Manager AD DS Role Installation Process

На схеме ниже показан процесс установки роли доменных служб Active Directory, начиная с запуска ServerManager.exe и заканчивая моментом перед повышением роли контроллера домена. The diagram below illustrates the Active Directory Domain Services role installation process, beginning with you running ServerManager.exe and ending right before the promotion of the domain controller.

Пул серверов и добавление ролей Server Pool and Add Roles

Объединить в пул можно любые компьютеры с ОС Windows Server 2012, доступные с компьютера, на котором запущен диспетчер сервера. Any Windows Server 2012 computers accessible from the computer running Server Manager are eligible for pooling. После объединения в пул эти серверы можно использовать для удаленной установки доменных служб Active Directory или любых других вариантов конфигурации, возможных в диспетчере сервера. Once pooled, you select those servers for remote installation of AD DS or any other configuration options possible within Server Manager.

Чтобы добавить серверы, выполните одно из указанных ниже действий. To add servers, choose one of the following:

На плитке приветствия на информационной панели щелкните Добавить другие серверы для управления. Click Add Other Servers to Manage on the dashboard welcome tile

В меню Управление выберите пункт Добавление серверов. Click the Manage menu and select Add Servers

Щелкните правой кнопкой мыши Все серверы и выберите пункт Добавление серверов. Right-click All Servers and choose Add Servers

Откроется диалоговое окно «Добавление серверов». This brings up the Add Servers dialog:

В нем можно добавить серверы в пул для использования или группировки тремя способами: This gives you three ways to add servers to the pool for use or grouping:

поиск в Active Directory (используется LDAP, компьютеры должны принадлежать к домену, разрешена фильтрация ОС, поддерживаются подстановочные знаки); Active Directory search (uses LDAP, requires that the computers belong to a domain, allows operating system filtering and supports wildcards)

Поиск по DNS (используется DNS-псевдоним или IP-адрес посредством передачи ARP или NetBIOS либо просмотра WINS; операционной системе запрещена фильтрация и поддержка подстановочных знаков); DNS search (uses DNS alias or IP address via ARP or NetBIOS broadcast or WINS lookup, does not allow operating system filtering or support wildcards)

Импорт (используется список серверов в виде текстового файла с разделителями CR/LF) Import (uses a text file list of servers separated by CR/LF)

Щелкните Найти для получения списка серверов из домена Active Directory, к которому присоединен компьютер, а затем щелкните одно или несколько имен серверов в списке. Click Find Now to return a list of servers from that same Active Directory domain that the computer is joined to, Click one or more server names from the list of servers. Нажмите кнопку со стрелкой вправо, чтобы добавить серверы в список Выбранные. Click the right arrow to add the servers to the Selected list. Используйте диалоговое окно Добавление серверов для добавления выбранных серверов в группы ролей на информационной панели. Use the Add Servers dialog to add selected servers to dashboard role groups. Чтобы создать настраиваемые группы серверов, выберите в меню Управление пункт Создание группы серверов или щелкните элемент Создание группы серверов на плитке Вас приветствует диспетчер серверов информационной панели. Or Click Manage, and then click Create Server Group, or click Create Server Group on the dashboard Welcome to Server Manager tile to create custom server groups.

Процедура «Добавление серверов» не выполняет проверку подключения сервера или его доступности. The Add Servers procedure does not validate that a server is online or accessible. Однако при следующем обновлении недоступные серверы будут помечены в представлении «Управляемость» диспетчера сервера. However, any unreachable servers flag in the Manageability view in Server Manager at the next refresh

Вы можете установить роли удаленно на любые компьютеры Windows Server 2012, добавленные в пул, как показано на снимке экрана: You can install roles remotely on any Windows Server 2012 computers added the pool, as shown:

Вы не можете полностью управлять серверами с более ранними операционными системами, чем Windows Server 2012. You cannot fully manage servers running operating systems older than Windows Server 2012. При выборе пункта Добавить роли и компоненты выполняется командлет Install-WindowsFeature из модуля Windows PowerShell ServerManager. The Add Roles and Features selection is running ServerManager Windows PowerShell Module Install-WindowsFeature.

Вы также можете выбрать установку доменных служб Active Directory на удаленном сервере с предварительно выбранной ролью с помощью информационной панели диспетчера сервера на существующем контроллере домена, щелкнув плитку на информационной панели правой кнопкой мыши и выбрав пункт Добавить AD DS на другой сервер. You can also use the Server Manager Dashboard on an existing domain controller to select remote server AD DS installation with the role already preselected by right clicking the AD DS dashboard tile and selecting Add AD DS to Another Server. Будет вызван командлет Install-WindowsFeature AD-Domain-Services. This is invoking Install-WindowsFeature AD-Domain-Services.

Компьютер с запущенным диспетчером сервера автоматически включает себя в пул. The computer you are running Server Manager on pools itself automatically. Чтобы установить на нем роль доменных служб Active Directory, просто откройте меню Управление и выберите пункт Добавить роли и компоненты. To install the AD DS role here, simply click the Manage menu and click Add Roles and Features.

Тип установки Installation Type

В диалоговом окне Тип установки есть вариант, при котором доменные службы Active Directory не поддерживаются: Установка на основе служб удаленных рабочих столов. The Installation Type dialog provides an option that does not support Active Directory Domain Services: the Remote Desktop Services scenario based-installation. При выборе этого варианта возможно использование только служб удаленных рабочих столов в распределенной среде с несколькими серверами. That option only allows Remote Desktop Service in a multi-server distributed workload. Установить доменные службы Active Directory в этом случае нельзя. If you select it, AD DS cannot install.

При установке доменных служб Active Directory всегда оставляйте вариант по умолчанию: Установка ролей или компонентов. Always leave the default selection in place when installing AD DS: Role-based or Feature-based Installation.

Выбор сервера Server Selection

В диалоговом окне Выбор сервера можно выбрать один из серверов, ранее добавленных в пул, если он доступен. The Server Selection dialog enables you to choose from one of the servers previously added to the pool, as long as it is accessible. Локальный сервер, на котором запущен диспетчер сервера, доступен автоматически. The local server running Server Manager is automatically available.

Кроме того, вы можете выбрать автономные VHD-файлы Hyper-V с операционной системой Windows Server 2012, и диспетчер сервера добавит в них роль напрямую с помощью системы предоставления компонентов. In addition, you can select offline Hyper-V VHD files with the Windows Server 2012 operating system and Server Manager adds the role to them directly through component servicing. Таким образом можно предоставлять виртуальным серверам необходимые компоненты перед их дальнейшей настройкой. This allows you to provision virtual servers with the necessary components before further configuring them.

«Роли сервера» и «Компоненты» Server Roles and Features

Если необходимо повысить роль контроллера домена, выберите роль Доменные службы Active Directory. Select the Active Directory Domain Services role if you intend to promote a domain controller. Все функции администрирования Active Directory и необходимые службы устанавливаются автоматически, даже если они являются частью другой роли или не выбраны в интерфейсе диспетчера сервера. All Active Directory administration features and required services install automatically, even if they are ostensibly part of another role or do not appear selected in the Server Manager interface.

В диспетчере сервера также выводится информационное диалоговое окно, в котором показаны компоненты управления, неявно устанавливаемые вместе с этой ролью. Это равноценно использованию аргумента -IncludeManagementTools. Server Manager also presents an informational dialog that shows which management features this role implicitly installs; this is equivalent to the -IncludeManagementTools argument.

При необходимости здесь можно добавить дополнительные компоненты. Additional Features can be added here as desired.

Доменные службы Active Directory Active Directory Domain Services

В диалоговом окне Доменные службы Active Directory приводится ограниченная информация о требованиях и рекомендациях. The Active Directory Domain Services dialog provides limited information on requirements and best practices. В основном он выступает в качестве подтверждения того, что выбрана роль AD DS «Если этот экран не отображается, значит не выбрано AD DS. It mainly acts as a confirmation that you chose the AD DS role » if this screen does not appear, you did not select AD DS.

Подтверждение Confirmation

Диалоговое окно Подтверждение — это последний этап перед установкой роли. The Confirmation dialog is the final checkpoint before role installation starts. С его помощью можно указать, что компьютер необходимо перезагрузить после установки роли, однако установка доменных служб Active Directory не требует перезагрузки. It offers an option to restart the computer as needed after role installation, but AD DS installation does not require a reboot.

Нажимая кнопку Установить, вы подтверждаете готовность к установке роли. By clicking Install, you confirm you are ready to begin role installation. После того как установка роли начнется, отменить ее будет невозможно. You cannot cancel a role installation once it begins.

Результаты Results

В диалоговом окне Результаты показан ход установки и ее текущее состояние. The Results dialog shows the current installation progress and current installation status. Установка роли продолжится, даже если закрыть диспетчер сервера. Role installation continues regardless of whether Server Manager is closed.

Рекомендуется проверять результат установки. Verifying the installation results is still a best practice. Если вы закрыли диалоговое окно Результаты до того, как установка завершилась, результаты можно проверить с помощью флага уведомления в диспетчере сервера. If you close the Results dialog before installation completes, you can check the results using the Server Manager notification flag. В диспетчере сервера также выводятся предупреждения для всех серверов, на которых установлена роль доменных служб Active Directory, но которые не были затем настроены как контроллеры домена. Server Manager also shows a warning message for any servers that have installed the AD DS role but not been further configured as domain controllers.

Уведомления о задачах Task Notifications

Сведения AD DS AD DS Details

Сведения о задаче Task Details

Повышение роли до контроллера домена Promote to Domain Controller

После того как установка роли доменных служб Active Directory завершится, можно продолжить настройку с помощью ссылки Повысить роль этого сервера до уровня контроллера домена. At the end of the AD DS role installation, you can continue with configuration by using the Promote this server to a domain controller link. Это необходимо для того, чтобы сделать сервер контроллером домена, однако мастер настройки запускать сразу необязательно. This is required to make the server a domain controller, but is not necessary to run the configuration wizard immediately. Например, может потребоваться предоставить серверам двоичные файлы роли доменных служб Active Directory, а затем отправить их в другой филиал для дальнейшей настройки. For example, you may only want to provision servers with the AD DS binaries before sending them to another branch office for later configuration. Добавив роль доменных служб Active Directory перед отправкой, можно сэкономить время, требуемое для настройки на месте назначения. By adding the AD DS role before shipping, you save time when it reaches its destination. При этом также выполняется рекомендация, в соответствии с которой контроллер домена не следует отключать на несколько дней или недель. You also follow the best practice of not keeping a domain controller offline for days or weeks. Наконец, это позволяет обновить компоненты перед повышением роли контроллера домена и уменьшить число последующих перезагрузок по крайней мере на одну. Finally, this enables you to update components before domain controller promotion, saving you at least one subsequent reboot.

При выборе этой ссылки вызываются следующие командлеты ADDSDeployment: install-addsforest, install-addsdomain или install-addsdomaincontroller. Selecting this link later invokes the ADDSDeployment cmdlets: install-addsforest, install-addsdomain, or install-addsdomaincontroller.

Удаление или отключение Uninstalling/Disabling

Роль доменных служб Active Directory удаляется так же, как любая другая роль, вне зависимости от того, была ли роль сервера повышена до контроллера домена. You remove the AD DS role like any other role, regardless of whether you promoted the server to a domain controller. Однако по завершении удаления роли доменных служб Active Directory необходимо перезапустить сервер. However, removing the AD DS role requires a restart on completion.

Удаление роли доменных служб Active Directory отличается от установки тем, что для его завершения необходимо понизить роль контроллера домена. Active Directory Domain Services role removal is different from installation, in that it requires domain controller demotion before it can complete. Это требуется для того, чтобы удаление двоичных файлов роли в контроллере домена сопровождалось надлежащей очисткой метаданных в лесу. This is necessary to prevent a domain controller from having its role binaries uninstalled without proper metadata cleanup in the forest. Дополнительные сведения см. в статье понижение роли контроллеров домена и доменов (уровня 200). For more information, see Demoting Domain Controllers and Domains (Level 200).

Удаление ролей доменных служб Active Directory с помощью программы Dism.exe или модуля Windows PowerShell DISM после повышения роли до контроллера домена не поддерживается и приводит к тому, что сервер перестает загружаться нормально. Removing the AD DS roles with Dism.exe or the Windows PowerShell DISM module after promotion to a Domain Controller is not supported and will prevent the server from booting normally.

В отличие от диспетчера сервера или модуля ADDSDeployment для Windows PowerShell, DISM — это собственная система обслуживания, которая не распознает доменные службы Active Directory или их конфигурацию. Unlike Server Manager or the AD DS Deployment module for Windows PowerShell, DISM is a native servicing system that has no inherent knowledge of AD DS or its configuration. Не используйте программу Dism.exe или модуль Windows PowerShell DISM для удаления роли доменных служб Active Directory, если сервер все еще является контроллером домена. Do not use Dism.exe or the Windows PowerShell DISM module to uninstall the AD DS role unless the server is no longer a domain controller.

Создание корневого домена леса доменных служб Active Directory с помощью диспетчера сервера Create an AD DS Forest Root Domain with Server Manager

На схеме ниже показан процесс настройки доменных служб Active Directory. Предполагается, что вы ранее установили роль доменных служб Active Directory и запустили мастер настройки доменных служб Active Directory с помощью диспетчера сервера. The following diagram illustrates the Active Directory Domain Services configuration process, in the case where you have previously installed the AD DS role and started the Active Directory Domain Services Configuration Wizard using Server Manager.

Конфигурация развертывания Deployment Configuration

Повышение роли каждого контроллера домена начинается в диспетчере сервера на странице Конфигурация развертывания. Server Manager begins every domain controller promotion with the Deployment Configuration page. Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана. The remaining options and required fields change on this page and subsequent pages, depending on which deployment operation you select.

Чтобы создать лес Active Directory, установите переключатель в положение Добавить новый лес. To create a new Active Directory forest, click Add a new forest. Необходимо указать допустимое имя корневого домена. Оно не может быть однокомпонентным (например, имя должно иметь вид contoso.com, а не просто contoso) и должно соответствовать требованиям к разрешенным доменным именам DNS. You must provide a valid root domain name; the name cannot be single-labeled (for example, the name must be contoso.com or similar and not just contoso) and must use allowed DNS domain naming requirements.

Имена лесов Active Directory не должны совпадать с внешними именами DNS. Do not create new Active Directory forests with the same name as an external DNS name. Например, если URL-адрес DNS в Интернете — http://contoso.com , необходимо выбрать другое имя для внутреннего леса, чтобы избежать будущих проблем совместимости. For example, if your Internet DNS URL is http://contoso.com, you must choose a different name for your internal forest to avoid future compatibility issues. Данное имя должно быть уникальным и достаточно редким для веб-трафика, That name should be unique and unlikely for web traffic. например corp.contoso.com. For example: corp.contoso.com.

В новом лесу не требуются новые учетные данные для учетной записи администратора домена. A new forest does not need new credentials for the domain’s Administrator account. Процесс повышения роли контроллера домена использует учетные данные встроенной учетной записи администратора из первого контроллера домена, применяемого для создания корневого домена леса. The domain controller promotion process uses the credentials of the built-in Administrator account from the first domain controller used to create the forest root. Не существует стандартного способа отключить или заблокировать встроенную учетную запись администратора, и она может быть единственной точкой входа в лес, если другие учетные записи администраторов домена использовать невозможно. There is no way (by default) to disable or lock out the built-in Administrator account and it may be the only entry point into a forest if the other administrative domain accounts are unusable. Перед развертыванием нового леса необходимо знать пароль. It is critical to know the password before deploying a new forest.

Аргумент DomainName обязателен, и ему должно быть присвоено полное доменное имя DNS. DomainName requires a valid fully qualified domain DNS name and is required.

Параметры контроллера домена Domain Controller Options

На странице Параметры контроллера домена можно настроить режим работы леса и режим работы домена для нового корневого домена леса. The Domain Controller Options enables you to configure the forest functional level and domain functional level for the new forest root domain. По умолчанию эти параметры являются Windows Server 2012 в новом корневом домене леса. By default, these settings are Windows Server 2012 in a new forest root domain. Функциональный уровень леса Windows Server 2012 не предоставляет никаких новых функциональных возможностей по отношению к режиму работы леса Windows Server 2008 R2. The Windows Server 2012 forest functional level does not provide any new functionality over the Windows Server 2008 R2 forest functional level. Режим работы домена Windows Server 2012 является обязательным только для реализации новых параметров Kerberos «всегда предоставлять утверждения» и «отказ в незащищенных запросах проверки подлинности». The Windows Server 2012 domain functional level is required only in order to implement the new Kerberos settings «always provide claims» and «Fail unarmored authentication requests.» В основном использование функциональных уровней в Windows Server 2012 заключается в ограничении участия в домене контроллерами домена, которые удовлетворяют минимально разрешенным требованиям к операционной системе. A primary use for functional levels in Windows Server 2012 is to restrict participation in the domain to domain controllers that meet minimum-allowed operating system requirements. Иными словами, можно указать только контроллеры домена Windows Server 2012, на которых выполняется Windows Server 2012, может размещаться домен. In other words, you can specify Windows Server 2012 domain functional level only domain controllers that run Windows Server 2012 can host the domain. В Windows Server 2012 реализован новый флаг контроллера домена, именуемый DS_WIN8_REQUIRED в функции DSGetDcName службы Netlogon, которая только находит контроллеры домена Windows Server 2012. Windows Server 2012 implements a new domain controller flag called DS_WIN8_REQUIRED in the DSGetDcName function of NetLogon that exclusively locates Windows Server 2012 domain controllers. Это позволяет более гибко создавать однородные или разнородные леса с учетом операционных систем, под управлением которых могут работать контроллеры домена. This allows you the flexibility of a more homogeneous or heterogeneous forest in terms of which operating systems are permitted to be run on domain controllers.

Подробнее о расположении контроллеров домена см. в статье Функции службы каталогов. For more information about domain controller Location, review Directory Service Functions.

Единственной настраиваемой возможностью контроллера домена является служба DNS-сервера. The only configurable domain controller capability is the DNS server option. Корпорация Майкрософт рекомендует, чтобы все контроллеры домена предоставляли службы DNS для обеспечения высокой доступности в распределенных средах. Поэтому этот параметр выбран по умолчанию при установке контроллера домена в любом режиме или домене. Microsoft recommends that all domain controllers provide DNS services for high availability in distributed environments, which is why this option is selected by default when installing a domain controller in any mode or domain. Параметры «Глобальный каталог» и «Контроллер домена только для чтения» недоступны при создании корневого домена леса, потому что первый контроллер домена должен быть глобальным каталогом и не может быть контроллером домена только для чтения. The Global Catalog and read only domain controller options are unavailable when creating a new forest root domain; the first domain controller must be a GC, and cannot be a read only domain controller (RODC).

Назначаемый пароль режима восстановления служб каталогов должен соответствовать применяемой к серверу политике паролей, которая по умолчанию не требует надежного пароля — допускается любой непустой пароль. The specified Directory Services Restore Mode Password must adhere to the password policy applied to the server, which by default does not require a strong password; only a non-blank one. Необходимо всегда выбирать надежный и сложный пароль, предпочтительно парольную фразу. Always choose a strong, complex password or preferably, a passphrase.

Параметры DNS и учетные данные для делегирования DNS DNS Options and DNS Delegation Credentials

На странице Параметры DNS можно настроить делегирование DNS и указать альтернативные учетные данные администратора DNS. The DNS Options page enables you to configure DNS delegation and provide alternate DNS administrative credentials.

Вы не можете настроить параметры или делегирование DNS в мастере настройки доменных служб Active Directory при установке нового корневого домена леса Active Directory, если на странице Параметры контроллера домена был выбран параметр DNS-сервер. You cannot configure DNS options or delegation in the Active Directory Domain Services Configuration Wizard when installing a new Active Directory Forest Root Domain where you selected the DNS server on the Domain Controller Options page. Параметр Создать DNS-делегирование доступен при создании корневой зоны DNS леса в существующей инфраструктуре DNS-серверов. The Create DNS delegation option is available when creating a new forest root DNS zone in an existing DNS server infrastructure. Он позволяет указать альтернативные учетные данные администратора DNS с правами на обновление зоны DNS. This option enables you to provide alternate DNS administrative credentials that have the rights to update DNS zone.

Дополнительные сведения о необходимости создания DNS-делегирования см. в статье Общее представление о делегировании зоны. For more information about whether you need to create a DNS delegation, see Understanding Zone Delegation.

Дополнительные параметры Additional Options

На странице Дополнительные параметры приводится NetBIOS-имя домена, которое вы можете переопределить. The Additional Options page shows the NetBIOS name of the domain and enables you to override it. По умолчанию NetBIOS-имя домена совпадает с крайним левым компонентом полного доменного имени, указанного на странице Конфигурация развертывания. By default, the NetBIOS domain name matches the left-most label of the fully qualified domain name provided on the Deployment Configuration page. Например, если указано полное доменное имя corp.contoso.com, NetBIOS-имя домена по умолчанию — CORP. For example, if you provided the fully qualified domain name of corp.contoso.com, the default NetBIOS domain name is CORP.

Если имя содержит не более 15 символов и не конфликтует с другим NetBIOS-именем, оно остается без изменений. If the name is 15 characters or less and does not conflict with another NetBIOS name, it is unaltered. Если оно конфликтует с другим NetBIOS-именем, к нему добавляется число. If it does conflict with another NetBIOS name, a number is appended to the name. Если длина имени больше 15 символов, мастер предоставляет уникальный усеченный вариант. If the name is more than 15 characters, the wizard provides a unique, truncated suggestion. В любом случае мастер сначала проверяет, не занято ли имя, с помощью просмотра WINS и широковещательной рассылки NetBIOS. In either case, the wizard first validates the name is not already in use via a WINS lookup and NetBIOS broadcast.

Пути Paths

Страница Пути позволяет переопределить расположение папок по умолчанию для базы данных AD DS, журналов транзакций базы данных и общего доступа к SYSVOL. The Paths page enables you to override the default folder locations of the AD DS database, the database transaction logs, and the SYSVOL share. Расположение по умолчанию всегда в подкаталогах %systemroot% (т. е. C:\Windows). The default locations are always in subdirectories of %systemroot% (i.e. C:\Windows).

«Просмотреть параметры» и «Просмотреть скрипт» Review Options and View Script

Страница Просмотреть параметры позволяет проверить параметры перед установкой и убедиться, что они отвечают требованиям. The Review Options page enables you to validate your settings and ensure they meet your requirements before you start the installation. Позднее установку также можно будет остановить с помощью диспетчера сервера. This is not the last opportunity to stop the installation when using Server Manager. Эта страница позволяет подтвердить параметры перед продолжением настройки. This is simply an option to confirm your settings before continuing the configuration

На странице Просмотреть параметры диспетчера сервера расположена дополнительная кнопка Просмотреть скрипт, предназначенная для создания текстового файла в кодировке Юникод, содержащего текущую конфигурацию развертывания ADDSDeployment в виде единого скрипта Windows PowerShell. The Review Options page in Server Manager also offers an optional View Script button to create a Unicode text file that contains the current ADDSDeployment configuration as a single Windows PowerShell script. Это позволяет использовать графический интерфейс диспетчера сервера в качестве студии развертывания Windows PowerShell. This enables you to use the Server Manager graphical interface as a Windows PowerShell deployment studio. С помощью мастера настройки доменных служб Active Directory необходимо настроить параметры, экспортировать конфигурацию и затем отменить мастер. Use the Active Directory Domain Services Configuration Wizard to configure options, export the configuration, and then cancel the wizard. Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования. This process creates a valid and syntactically correct sample for further modification or direct use. Пример. For example:

Диспетчер сервера обычно задает значения для всех аргументов при повышении роли, не полагаясь на значения по умолчанию (так как они могут изменяться в будущих версиях Windows или пакетах обновления). Server Manager generally fills in all arguments with values when promoting and does not rely on defaults (as they may change between future versions of Windows or service packs). Единственным исключением является аргумент -safemodeadministratorpassword (который намеренно опущен в скрипте). The one exception to this is the -safemodeadministratorpassword argument (which is deliberately omitted from the script). Для принудительного вывода запроса на подтверждение не указывайте значение при интерактивном выполнении командлета. To force a confirmation prompt, omit the value when running cmdlet interactively.

Проверка готовности к установке Prerequisites Check

Проверка предварительных требований — это новая функция настройки доменных служб Active Directory. The Prerequisites Check is a new feature in AD DS domain configuration. На этом новом этапе проверяется возможность поддержки нового леса доменных служб Active Directory конфигурацией сервера. This new phase validates that the server configuration is capable of supporting a new AD DS forest.

При установке нового корневого домена леса мастер настройки доменных служб Active Directory в диспетчере сервера выполняет серию модульных тестов. When installing a new forest root domain, the Server Manager Active Directory Domain Services Configuration Wizard invokes a series of modular tests. При этом предлагаются рекомендуемые способы восстановления. These tests alert you with suggested repair options. Тесты можно выполнять необходимое число раз. You can run the tests as many times as required. Установка контроллера домена не может продолжаться, пока все проверки предварительных требований не будут пройдены. The domain controller process cannot continue until all prerequisite tests pass.

На странице Проверка предварительных требований также приводится важная информация, например сведения об изменениях в системе безопасности, затрагивающих предыдущие операционные системы. The Prerequisites Check also surfaces relevant information such as security changes that affect older operating systems.

Подробнее о проверках предварительных требований см. в разделе Проверка предварительных требований. For more information on the specific prerequisite checks, see Prerequisite Checking.

Установка Installation

Когда появляется страница Установка, это означает, что настройка контроллера домена началась и ее нельзя остановить или отменить. When the Installation page displays, the domain controller configuration begins and cannot be halted or canceled. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы: Detailed operations display on this page and are written to logs:

Из одной консоли диспетчера сервера можно одновременно запустить несколько мастеров установки роли и настройки доменных служб Active Directory. You can run multiple role installation and AD DS configuration wizards from the same Server Manager console simultaneously.

Результаты Results

На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация. The Results page shows the success or failure of the promotion and any important administrative information. Контроллер домена автоматически перезагрузится через 10 секунд. The domain controller will automatically reboot after 10 seconds.

Развертывание леса с помощью Windows PowerShell Deploying a Forest with Windows PowerShell

В этом разделе описывается, как установить первый контроллер домена в корневом домене леса с помощью Windows PowerShell на компьютере с базовыми компонентами Windows Server 2012. This section explains how to install the first domain controller in a forest root domain using Windows PowerShell on a Core Windows Server 2012 computer.

Процесс установки роли доменных служб Active Directory с помощью Windows PowerShell Windows PowerShell AD DS Role Installation Process

Включив несколько простых командлетов из модуля ServerManager в процесс развертывания, можно еще более упростить администрирование доменных служб Active Directory. By implementing a few straightforward ServerManager deployment cmdlets into your deployment processes, you further realize the vision of AD DS simplified administration.

На схеме ниже показан процесс установки роли доменных служб Active Directory, начиная с запуска PowerShell.exe и заканчивая моментом перед повышением роли контроллера домена. The next figure illustrates the Active Directory Domain Services role installation process, beginning with you running PowerShell.exe and ending right before the promotion of the domain controller.

Командлет ServerManager ServerManager Cmdlet	Аргументы (аргументы, выделенные жирным шрифтом, являются обязательными. Arguments (Bold arguments are required. Аргументы, выделенные курсивом, можно указать с помощью Windows PowerShell или мастера настройки доменных служб Active Directory). Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.)
Install-WindowsFeature/Add-WindowsFeature Install-WindowsFeature/Add-WindowsFeature	*-Имя -ConfigurationFilePath*

Хотя аргумент -IncludeManagementTools необязателен, его настоятельно рекомендуется использовать при установке двоичных файлов роли доменных служб Active Directory. While not required, the argument -IncludeManagementTools is highly recommended when installing the AD DS role binaries

Модуль ServerManager предоставляет доступ к частям нового модуля DISM для Windows PowerShell, предназначенным для установки, отслеживания состояния и удаления роли. The ServerManager module exposes role installation, status, and removal portions of the new DISM module for Windows PowerShell. Такая структура упрощает большинство задач и уменьшает потребность в прямом использовании эффективного (но опасного при неправильном применении) модуля DISM. This layering simplifies the most tasks and reduces need for direct usage of the powerful (but dangerous when misused) DISM module.

Для экспорта псевдонимов и командлетов ServerManager используйте командлет Get-Command. Use Get-Command to export the aliases and cmdlets in ServerManager.

Пример. For example:

Чтобы добавить роль доменных служб Active Directory, просто выполните командлет Install-WindowsFeature с именем этой роли в качестве аргумента. To add the Active Directory Domain Services role, simply run the Install-WindowsFeature with the AD DS role name as an argument. Так же как при использовании диспетчера сервера, все службы, необходимые для роли доменных служб Active Directory, устанавливаются автоматически. Like Server Manager, all required services implicit to the AD DS role install automatically.

Если также требуется установить средства управления доменными службами Active Directory (настоятельно рекомендуем сделать это), укажите аргумент -IncludeManagementTools: If you also want the AD DS management tools installed — and this is highly recommended — then provide the -IncludeManagementTools argument:

Пример. For example:

Чтобы вывести список всех компонентов и ролей с состоянием их установки, используйте командлет Get-WindowsFeature без аргументов. To list all features and roles with their installation status, use Get-WindowsFeature without arguments. Чтобы получить состояние установки с удаленного сервера, укажите аргумент -ComputerName. Specify -ComputerName argument for the installation status from a remote server.

Так как командлет Get-WindowsFeature не имеет механизма фильтрации, чтобы найти определенные компоненты, необходимо использовать командлет Where-Object с конвейером. Because Get-WindowsFeature does not have a filtering mechanism, you must use Where-Object with a pipeline to find specific features. Конвейер — это канал, по которому данные передаются между несколькими командлетами, а командлет Where-Object выступает в роли фильтра. The pipeline is a channel used between multiple cmdlets to pass data and the Where-Object cmdlet acts as a filter. Встроенная переменная $_ содержит текущий объект со всеми свойствами, передаваемый через конвейер. The built-in $_ variable acts as the current object passing through the pipeline with any properties it may contain.

Например, чтобы найти все компоненты, в свойстве Отображаемое имя которых имеется строка Active Dir, выполните следующую команду: For example, to find all features containing «Active Dir» in their Display Name property, use:

Ниже приведены дополнительные примеры. Further examples illustrated below:

Подробнее о дополнительных операциях с конвейерами в Windows PowerShell и командлете Where-Object см. в статье Конвейерная передача и конвейер в Windows PowerShell. For more information about more Windows PowerShell operations with pipelines and Where-Object, see Piping and the Pipeline in Windows PowerShell.

Также обратите внимание на то, что в Windows PowerShell 3.0 значительно упростились аргументы командной строки, необходимые для выполнения этой конвейерной операции. Note also that Windows PowerShell 3.0 significantly simplified the command-line arguments needed in this pipeline operation. В Windows PowerShell 2.0 потребовалась бы следующая команда: Windows PowerShell 2.0 would have required:

С помощью конвейера Windows PowerShell можно получить удобные для восприятия результаты. By using the Windows PowerShell pipeline, you can create readable results. Пример. For example:

Обратите внимание на интересные данные, которые возвращает командлет Select-Object с аргументом -expandproperty: Note how using the Select-Object cmdlet with the -expandproperty argument returns interesting data:

Аргумент Select-Object -expandproperty немного снижает общую производительность установки. The Select-Object -expandproperty argument slows down overall installation performance slightly.

Создание корневого домена леса доменных служб Active Directory с помощью Windows PowerShell Create an AD DS Forest Root Domain with Windows PowerShell

Чтобы установить новый лес Active Directory с помощью модуля ADDSDeployment, используйте следующий командлет: To install a new Active Directory forest using the ADDSDeployment module, use the following cmdlet:

Выполнение командлета Install-AddsForest включает только два этапа (проверка предварительных требований и установка). The Install-AddsForest cmdlet only has two phases (prerequisite checking and installation). На двух иллюстрациях ниже показан этап установки с единственным необходимым аргументом -domainname. The two figures below show the installation phase with the minimum required argument of -domainname.