安裝 Windows Server 2012 Active Directory 唯讀網域控制站 (RODC) (等級 200)

本文說明如何建立暫存的 RODC 帳戶，並在 RODC 安裝期間將伺服器連結至該帳戶。 本文也說明如何不透過執行階段式安裝來安裝 RODC。

RODC 工作流程階段

階段式唯讀網域控制站 (RODC) 安裝分成兩個不同的階段：

1. 執行未使用的電腦帳戶

2. 在升級期間將 RODC 連結至該帳戶

下圖說明使用 Active Directory 管理中心 (Dsac.exe) 在網域中建立空白的 RODC 電腦帳戶的 Active Directory 網域服務唯讀網域控制站暫存處理程序。

暫存 RODC Windows PowerShell

連結 RODC 工作流程

下圖說明 Active Directory 網域服務設定流程，而您已安裝 AD DS 角色、執行 RODC 帳戶並已使用伺服器管理員啟動 [將此伺服器升級為網域控制站] 以在現有的網域中建立新的 RODC，並將其連結至執行的電腦帳戶。

連結 RODC Windows PowerShell

Staging

您可以開啟 Active Directory 系統管理中心 （Dsac.exe，以執行唯讀網域控制站電腦帳戶的預備作業。 選取瀏覽窗格中的網域名稱。 按兩下管理清單中的 [網域控制站 ]。 選取工作窗格中的 [預先建立唯讀網域控制站帳戶]。

如需 Active Directory 管理中心的詳細資訊，請參閱使用 Active Directory 管理中心的進階 AD DS 管理 (等級 200) 並檢閱 Active Directory 管理中心：使用者入門。

如果您曾經建立過唯讀網域控制站，您會發現安裝精靈的圖形化介面和從 Windows Server 2008 使用舊版 [Active Directory 使用者和電腦] 嵌入式管理單元時所見的相同，並且使用相同的程式碼，其中包括匯出過時的 dcpromo 所使用的自動安裝檔案格式中的設定。

Windows Server 2012 使用新的 ADDSDeployment Cmdlet 以暫存 RODC 電腦帳戶，但精靈不會使用該 Cmdlet 來執行作業。 下列各節顯示對等的 Cmdlet 與引數，讓彼此關聯的資訊更易於了解。

Active Directory 管理中心的工作窗格中的 [預先建立唯讀網域控制站帳戶] 連結，相當於 ADDSDeployment Windows PowerShell Cmdlet：

Add-addsreadonlydomaincontrolleraccount

Welcome

[歡迎使用 Active Directory 網域服務安裝精靈] 對話方塊有一個名為 [使用進階模式安裝] 的選項。 選取此選項，然後選取 下一步 以顯示密碼複寫原則選項。 清除此選項可使用密碼複寫原則選項的預設值 (本節稍後將進一步詳細探討)。

網路憑證

[ 網路認證 ] 對話方塊中的網域名稱選項預設會顯示 Active Directory 管理中心所針對的網域。 預設會使用您目前的認證。 如果它們未包含在 [網域管理員] 群組中的成員資格，請選取 [替代認證]，然後選取 [ 設定 ]，為精靈提供屬於網域管理員成員的使用者名稱和密碼。

對等的 ADDSDeployment Windows PowerShell 引數為：

-credential <pscredential>

請記住，暫存系統是 Windows Server 2008 R2 的直接連接埠，並不提供新的 Adprep 功能。 如果您計劃部署執行的 RODC 帳戶，您必須先在該網域部署未暫存的 RODC 以使自動 rodcprep 作業執行，或是先手動執行 adprep.exe /rodcprep。

否則，您會收到錯誤。 您無法在此網域中安裝唯讀網域控制站，因為 adprep /rodcprep 尚未執行。

指定電腦名稱

[指定電腦名稱] 對話方塊會要求您輸入不存在的網域控制站的單一標籤 [電腦名稱] 。 您設定的網域控制站和稍後連結至此帳戶的網域控制站必須是相同名稱，否則升級作業將無法偵測暫存的帳戶。

對等的 ADDSDeployment Windows PowerShell 引數為：

-domaincontrolleraccountname <string>

選取站台

[選取站台] 對話方塊會顯示目前樹系的 Active Directory 站台清單。 執行的唯讀網域控制站作業會要求您從清單中選取一個站台。 RODC 會使用此資訊在設定磁碟分割中建立其 NTDS 設定物件，然後在部署後第一次啟動時自行加入正確的網站。

對等的 ADDSDeployment Windows PowerShell 引數為：

-sitename <string>

其他網域控制站選項

[其他網域控制站選項] 對話方塊可讓您指定網域控制站執行為 [DNS 伺服器] 和包含 [通用類別目錄] 。 Microsoft 建議唯讀網域控制站提供 DNS 與 GC 服務，因此預設會安裝這兩者；使用 RODC 角色的意義是，在分公司案例中，廣域網路可能無法使用，而若沒有這些 DNS 和通用類別目錄服務，分公司中的電腦將無法使用 AD DS 資源及功能。

[唯讀網域控制站 (RODC)] 是預先選取的選項，而且無法停用。 對等的 ADDSDeployment Windows PowerShell 引數為：

-installdns <string>
-NoGlobalCatalog <{$true | $false}>

指定密碼複寫原則

[指定密碼複寫原則] 對話方塊可讓您修改允許在此唯讀網域控制站上快取其密碼的預設帳戶清單。 清單中設定了 拒絕 或不在清單中 （隱含） 的帳戶不會快取其密碼。 不允許在 RODC 上快取密碼且無法連線可寫入網域控制站並驗證其身分的帳戶，無法存取 Active Directory 所提供的資源或功能。

對等的 ADDSDeployment Windows PowerShell 引數為：

-allowpasswordreplicationaccountname <string []>
-denypasswordreplicationaccountname <string []>

RODC 安裝與管理的委派

[RODC 安裝與管理的委派] 對話方塊可讓您設定使用者或設定包含可將伺服器連結至 RODC 電腦帳戶的群組。 選取 [ 設定 ] 以瀏覽使用者或群組的網域。 在此對話方塊中指定的使用者或群組會獲得 RODC 的本機系統管理權限。 指定的使用者或指定群組的成員可以相當於電腦 Administrators 群組的權限，在 RODC 上執行作業。 他們不是 Domain Admins 群組的成員或網域內建的 Administrators 群組的成員。

使用這個選項可委派分公司的管理工作，而不需要將分公司系統管理員成員資格授與 Domain Admins 群組。 委派 RODC 管理工作不是必要的。

對等的 ADDSDeployment Windows PowerShell 引數為：

-delegatedadministratoraccountname <string>

Summary

「 摘要」 對話方塊可讓您確認您的設定。 這是在精靈建立執行帳戶前可停止安裝的最後機會。 當您準備好建立暫存的 RODC 電腦帳戶時，請選取 [ 下一步 ]。 選取 [匯出設定 ]，以過時的 dcpromo 自動檔案格式儲存回應檔案。

Creation

[Active Directory 網域服務安裝精靈] 會在 Active Directory 中建立執行的唯讀網域控制站。 這項作業開始之後，即無法將其取消。

使用下列 Cmdlet 可利用 ADDSDeployment Windows PowerShell 模組來執行唯讀網域控制站電腦帳戶：

Add-addsreadonlydomaincontrolleraccount

如需必要引數和選擇性引數的詳細資訊，請參閱 Stage RODC Windows PowerShell 。

因為 Add-addsreadonlydomaincontrolleraccount 只有一個動作，有兩個階段 （必要條件檢查和安裝） ，所以下列螢幕快照顯示安裝階段，其中包含最少必要的引數。

RODC 作業階段會在 Active Directory 中建立 RODC 電腦帳戶。 Active Directory 管理中心顯示 [網域控制站類型] 為 [未使用的網域控制站帳戶] 。 此網域控制站類型表示執行的 RODC 帳戶已準備好連結伺服器以做為唯讀的網域控制站。

Attaching

部署組態

伺服器管理員會從 [部署設定] 頁面開始每個網域控制站升級。 這個頁面及後續頁面的剩餘選項及必要欄位會隨著您選取的部署操作而變更。

如果要將唯讀網域控制站新增至現有網域中，請選取 [新增現有網域的網域控制站]， 然後依序按一下 [選取] 選取按鈕、[提供此網域的網域資訊]。 伺服器管理員會自動提示您輸入有效的認證，或者您可以選擇 [變更]。

連結 RODC 需要 Windows Server 2012 中 Domain Admins 群組的成員資格。 如果您目前的認證不具有適當的權限或群組成員資格，稍後 [Active Directory 網域服務設定精靈] 會提示您。

部署組態 ADDSDeployment Windows PowerShell Cmdlet 和引數為：

Install-AddsDomainController
-domainname <string>
-credential <pscredential>

網域控制站選項

[網域控制站選項] 頁面顯示新網域控制站的網域控制站選項。 當這個頁面載入時，Active Directory 網域服務設定精靈會將 LDAP 查詢傳送到現有的網域控制站，以檢查是否有未使用的帳戶。 如果查詢找到某個使用的網域控制站電腦帳戶與目前的電腦共用相同的名稱，則精靈會在頁面頂端顯示一則資訊訊息：某個預先建立的 RODC 帳戶和目錄中存在的目標伺服器名稱相符。請選擇要使用現有的 RODC 帳戶或重新安裝此網域控制站。 精靈會使用 [使用現有的 RODC 帳戶] 作為預設設定。

當您將伺服器連結至 RODC 電腦帳戶時，無法設定網域控制站選項。 您要在建立執行的 RODC 電腦帳戶時設定網域控制站選項。

指定的 [目錄服務還原模式密碼] 必須遵守套用至伺服器的密碼原則。 務必選擇複雜的強式密碼，或者最好是使用複雜密碼。

網域控制站選項 ADDSDeployment Windows PowerShell 引數為：

-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>

如果未指定， Install-ADDSDomainController 引數會遵循與伺服器管理員相同的預設值。

SafeModeAdministratorPassword 引數的作業是特殊的：

• 如果 未指定 為引數，Cmdlet 會提示您輸入並確認遮罩的密碼。 這是以互動方式執行 Cmdlet 時的慣用用法。

  例如，在 corp.contoso.com 中建立新的 RODC，並提示輸入和確認不顯示字元的密碼：

  Install-ADDSDomainController -DomainName corp.contoso.com -credential (get-credential)
  

• 如果使用值指定，則這個值必須是安全字串。 以互動方式執行 Cmdlet 時，這不是慣用的使用方式。

例如，您可以使用 Read-Host Cmdlet 來提示使用者輸入安全字串，以手動提示輸入密碼：

-safemodeadministratorpassword (read-host -prompt Password: -assecurestring)

您也可以提供轉換的純文字變數當做安全字串，不過我們不鼓勵這種做法。

-safemodeadministratorpassword (convertto-securestring Password1 -asplaintext -force)

最後，您可以將模糊化密碼儲存到檔案中以在稍後重複使用，而不顯示純文字密碼。 例如：

$file = c:\pw.txt
$pw = read-host -prompt Password: -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

其他選項

[ 其他選項] 頁面提供設定選項，可將網域控制站命名為複寫來源，或者您可以使用任何網域控制站作為複寫來源。

您也可以使用「從媒體安裝」(IFM) 選項，使用備份的媒體來安裝網域控制站。 選取 [從媒體安裝] 核取方塊時會提供瀏覽選項，您必須選取 [驗證] 以確保提供的路徑是有效的媒體。

IFM 來源的指導方針：

• IFM 選項所使用的媒體是使用 Windows Server Backup 或 Ntdsutil.exe，從另一個只有相同作業系統版本的現有 Windows Server 網域控制站建立。 例如，您無法使用 Windows Server 2008 R2 或先前版本的作業系統來建立 Windows Server 2012 網域控制站的媒體。
• IFM 來源資料應該來自可寫入的網域控制站。 雖然 RODC 的來源在技術上可用於建立新的 RODC，但存在誤判複寫警告，表示 IFM 來源 RODC 無法複寫。

如需 IFM 中變更的詳細資訊，請參閱 Ntdsutil.exe Install from Media Changes。 如果使用以 SYSKEY 保護的媒體，伺服器管理員在驗證期間會提示輸入映像的密碼。

其他選項 ADDSDeployment Cmdlet 引數如下：

-replicationsourcedc <string>
-installationmediapath <string>
-systemkey <secure string>

Paths

[ 路徑] 頁面可讓您覆寫 AD DS 資料庫、資料庫交易記錄和 SYSVOL 共用的預設資料夾位置。 預設位置一律是在 %systemroot% 的子目錄中。 路徑 ADDSDeployment Cmdlet 引數為：

-databasepath <string>
-logpath <string>
-sysvolpath <string>

檢閱選項和檢視指令碼

「 檢閱選項」 頁面可讓您在開始安裝之前驗證您的設定，並確保它們符合您的需求。 這不是使用 [伺服器管理員] 停止安裝的最後機會。 這個頁面只是讓您檢閱並確認設定，然後才繼續設定。 伺服器管理員中的 [檢閱選項] 頁面也提供選擇性的 [檢視腳本] 按鈕，以建立包含目前 ADDSDeployment 設定作為單一 Windows PowerShell 腳本的 Unicode 文字檔。 這樣可以讓您將 [伺服器管理員] 的圖形介面當作 Windows PowerShell 部署工作室一樣操作。 使用 [Active Directory 網域服務設定精靈] 來設定選項、匯出設定，然後取消精靈。 這個程序會建立一個有效且合乎語義的正確範例，以備日後修改或直接使用。 例如：

#
# Windows PowerShell Script for AD DS Deployment
#

Import-Module ADDSDeployment
Install-ADDSDomainController `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath C:\Windows\NTDS `
-DomainName corp.contoso.com `
-LogPath C:\Windows\NTDS `
-SYSVOLPath C:\Windows\SYSVOL `
-UseExistingAccount:$true `
-Norebootoncompletion:$false
-Force:$true

搭配 Install-ADDSDomainController Cmdlet 使用選擇性 Whatif 引數來檢閱組態資訊。 這可讓您看到 Cmdlet 引數的明確值和隱含值。

必要條件檢查

必要條件檢查是 AD DS 網域設定中的新功能。 這個新階段會驗證伺服器設定是否能夠支援新的 AD DS 樹系。

安裝新的樹系根網域時，[伺服器管理員] 的 [Active Directory 網域服務設定精靈] 會叫用一系列序列化的模組化測試。 這些測試會提醒您建議的修復選項。 您可以視需要執行多次測試。 必須通過所有的必要條件測試，網域控制站安裝程序才能繼續。

必要條件檢查也會顯示相關資訊，例如影響舊版作業系統的安全性變更。 如需必要條件檢查的詳細資訊，請參閱 必要條件檢查。

使用伺服器管理員時，您無法略過 [ 必要條件檢查 ]，但您可以使用下列引數，在使用 AD DS 部署 Cmdlet 時略過程式：

-skipprechecks

選取 [安裝] 以開始網域控制站升級程式。 這是取消安裝的最後機會。 升級程序一旦開始就無法取消。 不論升級結果如何，升級結束時電腦都會自動重新開機。

Installation

當 [安裝] 頁面顯示時，網域控制站設定程序就開始執行，而且無法暫停或取消。 詳細的作業會顯示此頁面上，而且會寫入到記錄檔：

• %systemroot%\debug\dcpromo.log

• %systemroot%\debug\dcpromoui.log

如果要使用 DDSDeployment 模組安裝新的 Active Directory 樹系，請使用下列 Cmdlet：

Install-addsdomaincontroller

如需必要引數和選擇性引數的詳細資訊，請參閱 Attach RODC Windows PowerShell 。

Install-addsdomaincontroller Cmdlet 只有兩個階段 （必要條件檢查和安裝） 。 下圖顯示安裝階段，其中 -domainname、 -useexistingaccount 和 -credential 的最低必要引數。 請注意，就像伺服器管理員一樣， Install-ADDSDomainController 如何提醒您升級會自動重新啟動伺服器：

若要自動接受重新開機提示，請搭配任何 ADDSDeployment Windows PowerShell Cmdlet 使用 -force 或 -confirm：$false 引數。 若要防止伺服器在升級結束時自動重新啟動，請使用 -norebootoncompletion 引數。

Results

「 結果」 頁面會顯示升級的成功或失敗，以及任何重要的管理資訊。 網域控制站會在 10 秒後自動重新開機。

沒有執行工作流程的 RODC

下圖說明已安裝過 AD DS 角色，並且使用伺服器管理員啟動 Active Directory 網域服務設定精靈以在現有的 Windows Server 2012 網域中建立新的未暫存網域控制站時的 Active Directory 網域服務設定程序。

沒有執行 Windows PowerShell 的 RODC

沒有執行部署的 RODC

部署組態

伺服器管理員會從 [部署設定] 頁面開始每個網域控制站升級。 這個頁面及後續頁面的剩餘選項及必要欄位會隨著您選取的部署操作而變更。

如果要將未暫存的唯讀網域控制站新增至現有的 Windows Server 2012 網域中，請選取 [新增現有網域的網域控制站]， 然後依序選取 [選取] 按鈕、[提供此網域的網域資訊] 。 伺服器管理員會自動提示您輸入有效的認證，或者您可以選擇 [變更]。

連結 RODC 需要 Windows Server 2012 中 Domain Admins 群組的成員資格。 如果您目前的認證不具有適當的權限或群組成員資格，稍後 [Active Directory 網域服務設定精靈] 會提示您。

部署組態 ADDSDeployment Windows PowerShell Cmdlet 和引數為：

Install-AddsDomainController
-domainname <string>
-credential <pscredential>

網域控制站選項

[網域控制站選項] 頁面指定新網域控制站的網域控制站功能。 可設定的網域控制站功能包括 DNS 伺服器、 通用類別目錄和 唯讀網域控制站。 Microsoft 建議所有網域控制站都提供 DNS 與 GC 服務，以在分散式環境中獲得高可用性。 GC 一律是預設選項，而如果目前的網域已在以起始授權 (SOA) 查詢為基礎的網域控制站上代管 DNS，則預設會選取 DNS 伺服器。

[網域控制站選項] 頁面也能讓您從樹系設定選擇適當的 Active Directory 邏輯 [站台名稱]。 它預設會選取包含最正確子網路的站台。 如果只有一個站台，就會自動選取該站台。

指定的 [目錄服務還原模式密碼] 必須遵守套用至伺服器的密碼原則。 請一律選擇強式的複雜密碼或最好是複雜密碼。網域控制站選項 ADDSDeployment Windows PowerShell 引數為：

-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>

如果未指定， Install-ADDSDomainController 引數會遵循與伺服器管理員相同的預設值。

SafeModeAdministratorPassword 引數的作業是特殊的：

• 如果 未指定 為引數，Cmdlet 會提示您輸入並確認遮罩的密碼。 這是以互動方式執行 Cmdlet 時的慣用用法。

  例如，在 corp.contoso.com 中建立新的 RODC，並提示輸入和確認不顯示字元的密碼：

  Install-ADDSDomainController -DomainName corp.contoso.com -credential (get-credential)
  

• 如果使用值指定，則這個值必須是安全字串。 以互動方式執行 Cmdlet 時，這不是慣用的使用方式。

例如，您可以使用 Read-Host Cmdlet 來提示使用者輸入安全字串，以手動提示輸入密碼：

-safemodeadministratorpassword (read-host -prompt Password: -assecurestring)

您也可以提供轉換的純文字變數當做安全字串，不過我們不鼓勵這種做法。

-safemodeadministratorpassword (convertto-securestring Password1 -asplaintext -force)

最後，您可以將模糊化密碼儲存到檔案中以在稍後重複使用，而不顯示純文字密碼。 例如：

$file = c:\pw.txt
$pw = read-host -prompt Password: -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

RODC 選項

[ RODC 選項] 頁面可讓您修改設定：

• 委派的系統管理員帳戶

• 可複寫密碼至 RODC 的帳戶

• 不可複寫密碼至 RODC 的帳戶

委派的系統管理員帳戶可取得對 RODC 的本機管理權限。 這些使用者可以使用與本機電腦 Administrators 群組對等的權限進行操作。 他們不是 Domain Admins 群組的成員或網域內建的 Administrators 群組的成員。 這個選項對於委派分公司管理權卻不用釋出網域管理權限很有用。 不需要設定管理委派。

對等的 ADDSDeployment Windows PowerShell 引數為：

-delegatedadministratoraccountname <string>

不允許在 RODC 上快取密碼且無法連線可寫入網域控制站並驗證其身分的帳戶，無法存取 Active Directory 所提供的資源或功能。

對等的 ADDSDeployment Windows PowerShell 引數為：

-allowpasswordreplicationaccountname <string []>
-denypasswordreplicationaccountname <string []>

其他選項

[ 其他選項] 頁面提供設定選項，可將網域控制站命名為複寫來源，或者您可以使用任何網域控制站作為複寫來源。

您也可以使用「從媒體安裝」(IFM) 選項，使用備份的媒體來安裝網域控制站。 選取 [從媒體安裝] 核取方塊時會提供瀏覽選項，您必須選取 [驗證] 以確保提供的路徑是有效的媒體。

IFM 來源的指導方針：

• IFM 選項所使用的媒體是使用 Windows Server Backup 或 Ntdsutil.exe，從另一個只有相同作業系統版本的現有 Windows Server 網域控制站建立。 例如，您無法使用 Windows Server 2008 R2 或先前版本的作業系統來建立 Windows Server 2012 網域控制站的媒體。
• IFM 來源資料應該來自可寫入的網域控制站。 雖然 RODC 的來源在技術上可用於建立新的 RODC，但存在誤判複寫警告，表示 IFM 來源 RODC 無法複寫。

如需 IFM 中變更的詳細資訊，請參閱 Ntdsutil.exe Install from Media Changes。 如果使用以 SYSKEY 保護的媒體，伺服器管理員在驗證期間會提示輸入映像的密碼。

[其他選項] ADDSDeployment Cmdlet 引數是：

-replicationsourcedc <string>
-installationmediapath <string>
-systemkey <secure string>

Paths

[ 路徑] 頁面可讓您覆寫 AD DS 資料庫、資料庫交易記錄和 SYSVOL 共用的預設資料夾位置。 預設位置一律是在 %systemroot% 的子目錄中。 路徑 ADDSDeployment Cmdlet 引數為：

-databasepath <string>
-logpath <string>
-sysvolpath <string>

準備選項

[ 準備選項] 頁面會警示您 AD DS 設定包括擴充架構 （forestprep） 和更新網域 （domainprep）。 只有在舊版的 Windows Server 2012 網域控制站安裝尚未準備樹系或網域時，或是您手動執行 Adprep.exe 時，才會看到這個頁面。 例如，如果您將新的複本網域控制站新增至現有的 Windows Server 2012 樹系根網域，Active Directory 網域服務設定精靈會封鎖這個頁面。

當您選取 [ 下一步] 時，不會發生擴充結構描述和更新網域。 這些事件只會在安裝階段發生。 這個頁面只是提示稍後安裝時將發生的事件。

這個頁面也會驗證目前使用者的認證是否為 Schema Admin 及 Enterprise Admins 群組的成員，因為您需要這些群組的成員資格才能延伸結構描述或準備網域。 如果頁面通知您目前的認證未提供足夠的許可權，請選取 [ 變更 ] 以提供足夠的使用者認證。

[其他選項] ADDSDeployment Cmdlet 引數為：

-adprepcredential <pscredential>

檢閱選項和檢視指令碼

「 檢閱選項」 頁面可讓您在開始安裝之前驗證您的設定，並確保它們符合您的需求。 這不是使用 [伺服器管理員] 停止安裝的最後機會。 這個頁面只是讓您檢閱並確認設定，然後才繼續設定。

伺服器管理員中的 [檢閱選項] 頁面也提供選擇性的 [檢視腳本] 按鈕，以建立包含目前 ADDSDeployment 設定作為單一 Windows PowerShell 腳本的 Unicode 文字檔。 這樣可以讓您將 [伺服器管理員] 的圖形介面當作 Windows PowerShell 部署工作室一樣操作。 使用 [Active Directory 網域服務設定精靈] 來設定選項、匯出設定，然後取消精靈。 這個程序會建立一個有效且合乎語義的正確範例，以備日後修改或直接使用。 例如：

#
# Windows PowerShell Script for AD DS Deployment
#

Import-Module ADDSDeployment
Install-ADDSDomainController `
-AllowPasswordReplicationAccountName @(CORP\Allowed RODC Password Replication Group, CORP\Chicago RODC Admins, CORP\Chicago RODC Users and Computers) `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath C:\Windows\NTDS `
-DelegatedAdministratorAccountName CORP\Chicago RODC Admins `
-DenyPasswordReplicationAccountName @(BUILTIN\Administrators, BUILTIN\Server Operators, BUILTIN\Backup Operators, BUILTIN\Account Operators, CORP\Denied RODC Password Replication Group) `
-DomainName corp.contoso.com `
-InstallDNS:$true `
-LogPath C:\Windows\NTDS `
-ReadOnlyReplica:$true `
-SiteName Default-First-Site-Name `
-SYSVOLPath C:\Windows\SYSVOL
-Force:$true

使用選擇性的 Whatif 引數搭配 Install-ADDSDomainController Cmdlet 來檢閱設定資訊。 這可讓您看到 Cmdlet 引數的明確值和隱含值。

必要條件檢查

必要條件檢查是 AD DS 網域設定中的新功能。 這個新階段會驗證伺服器設定是否能夠支援新的 AD DS 樹系。

安裝新的樹系根網域時，[伺服器管理員] 的 [Active Directory 網域服務設定精靈] 會叫用一系列序列化的模組化測試。 這些測試會提醒您建議的修復選項。 您可以視需要執行多次測試。 必須通過所有先決條件測試，網域控制站程序才能繼續。

必要條件檢查也會顯示相關資訊，例如影響舊版作業系統的安全性變更。

使用伺服器管理員時，您無法略過 [ 必要條件檢查 ]，但您可以使用下列引數，在使用 AD DS 部署 Cmdlet 時略過程式：

-skipprechecks

選取 [安裝] 以開始網域控制站升級程式。 這是取消安裝的最後機會。 升級程序一旦開始就無法取消。 不論升級結果如何，升級結束時電腦都會自動重新開機。

Installation

當 [安裝] 頁面顯示時，網域控制站設定會開始，且無法停止或取消。 詳細的作業會顯示此頁面上，而且會寫入到記錄檔：

• %systemroot%\debug\dcpromo.log

• %systemroot%\debug\dcpromoui.log

如果要使用 DDSDeployment 模組安裝新的 Active Directory 樹系，請使用下列 Cmdlet：

Install-addsdomaincontroller

如需必要和選擇性引數，請參閱本節開頭的 ADDSDeployment Cmdlet 數據表。

Install-addsdomaincontroller Cmdlet 只有兩個階段 （必要條件檢查和安裝） 。 下圖顯示安裝階段，其中 -domainname、 -readonlyreplica、 -sitename 和 -credential 的最低必要引數。 請注意，就像伺服器管理員一樣， Install-ADDSDomainController 如何提醒您升級會自動重新啟動伺服器：

若要自動接受重新開機提示，請搭配任何 ADDSDeployment Windows PowerShell Cmdlet 使用 -force 或 -confirm：$false 引數。 若要防止伺服器在升級結束時自動重新啟動，請使用 -norebootoncompletion 引數。

Results

「 結果」 頁面會顯示升級的成功或失敗，以及任何重要的管理資訊。 網域控制站會在 10 秒後自動重新開機。