Praca z kontrolerem domeny tylko do odczytu (część 3)

W poprzednich artykułach z tej serii (Rodc część 1 i praca z Rodc część 2) mówiłeś o teorii i zaletach nowej technologii Microsoftu o nazwie Kontroler domeny tylko do odczytu. W tym artykule omówię procedurę wdrażania takiego kontrolera domeny.

Zanim zaczniesz

Po pierwsze, na serwerze, którego zamierzasz używać jako kontrolera RODC, musisz zainstalować system Windows Server 2008 i dołączyć go do domeny AD. Technicznie możliwe jest utworzenie kontrolera domeny tylko do odczytu z serwera, który nie jest pierwotnie zawarty w domenie, jednak w moim artykule opisuję przypadek, gdy ten serwer jest już członkiem domeny.

Poziom funkcjonalności lasu

Zanim zaczniesz, musisz upewnić się, że poziom funkcjonalności lasu to Windows Server 2003 lub wyższy. W tym celu otwórz przystawkę Domeny i relacje zaufania usługi Active Directory. W oknie konsoli kliknij prawym przyciskiem myszy las usługi Active Directory i wybierz polecenie „Właściwości” z wyświetlonego menu podręcznego. Rysunek pokazuje, że poziom funkcjonalności lasu jest wyświetlany na zakładce „Ogólne”.

Może być konieczne przygotowanie domeny do zainstalowania systemu Windows Server 2008 / R2. Jeśli poziom lasu jest niewystarczający, należy go podnieść. Należy pamiętać, że oznacza to, że nie można już używać kontrolerów domeny systemu Windows 2000 w lesie.

Aby podnieść poziom lasu AD, ponownie kliknij prawym przyciskiem myszy las i wybierz polecenie „Podnieś poziom funkcjonalności lasu”, w wyświetlonym oknie wybierz „Windows Server 2003” i kliknij przycisk Podnieś.

Aktualizowanie sekcji katalogu aplikacji

W następnym kroku musisz zaktualizować uprawnienia do wszystkich gałęzi aplikacji w lesie. W rezultacie możliwe będzie kontrolowanie replikacji tych sekcji na kontrolerze domeny tylko do odczytu.

Aby to zrobić, włóż zestaw dystrybucyjny z systemem Windows Server 2008 do kontrolera domeny, który został przypisany jako wzorzec schematu. Następnie skopiuj folder \ Sources \ Adprep z pakietu dystrybucyjnego do dowolnego folderu na dysku twardym serwera. Na koniec otwórz okno wiersza polecenia i przejdź do nowo utworzonego folderu ADPREP i uruchom następujące polecenie:

ADPREP / RODCPREP


Awans serwera na kontroler domeny

Proces konwersji prostego serwera na kontroler domeny tylko do odczytu jest bardzo podobny do tworzenia zwykłego kontrolera domeny.

Najpierw uzyskaj dostęp do serwera za pomocą konta, które jest członkiem grupy Domain Admins. W wierszu polecenia wpisz DCPROMO. W rezultacie uruchamia się kreator instalacji usług domenowych w usłudze Active Directory..

Na pierwszym ekranie kreatora zaznacz pole „Użyj instalacji w trybie zaawansowanym” i kliknij „Dalej”.

Kreator zapyta Cię, dla której domeny chcesz zainstalować kontroler. Wybierz opcję - dodaj kontroler domeny do istniejącej domeny).

Kliknij „Dalej”, a kreator poprosi cię o podanie nazwy domeny, do której chcesz dodać kontroler domeny. Wpisz nazwę swojej domeny w odpowiednim oknie.

Następne okno jest trochę zbędne, w nim potwierdzasz wybór domeny.

W następnym oknie kreatora musisz określić witrynę AD, w której chcesz umieścić nowy kontroler domeny. To okno jest szczególnie ważne przy umieszczaniu nowego kontrolera domeny w oddziale, ponieważ z reguły gałęzie znajdują się w osobnych witrynach Active Directory.

Następnie zostaniesz poproszony o wybranie dodatkowych opcji dla kontrolera domeny. Oczywiście musisz zaznaczyć opcję „Kontroler domeny tylko do odczytu”, ale fajnie byłoby też zrobić ten serwer DNS i serwer wykazu globalnego.

W następnym oknie kreatora instalacji kontrolera domeny musisz wybrać zasadę replikacji hasła, w tym miejscu musisz określić, które hasła mogą być replikowane do kontrolera domeny tylko do odczytu. Możesz określić swoje ustawienia, ale zwykle ustawienia domyślne są dość poprawne.

Kliknij przycisk Dalej, a otrzymasz możliwość delegowania uprawnień użytkownika lub grupy do zarządzania serwerem RODC (procedurę delegowania uprawnień do Rodc można wykonać później).

Na następnym ekranie możesz określić, czy chcesz replikować dane przez sieć z najbliższego kontrolera domeny, czy chcesz utworzyć bazę danych Active Directory z pliku. Tworzenie bazy danych Active Directory z pliku jest wygodne, jeśli masz wystarczająco dużą bazę danych i wolne połączenie.

W następnym oknie pojawi się monit o wybranie partnera replikacji dla kontrolera domeny. Zazwyczaj system automatycznie wybiera najlepszego partnera do replikacji..

Po kliknięciu przycisku „Dalej” zostaniesz przeniesiony do znanego Ci ekranu, na którym musisz wybrać lokalizację bazy danych Active Directory. Wybierz niezbędną ścieżkę do bazy danych i kliknij „Dalej”.

Następnie zostaniesz poproszony o podanie hasła do trybu przywracania usług katalogowych. Wpisz swoje hasło i kliknij Dalej..

Następnym oknem będzie wynik, w którym można wyświetlić wszystkie określone ustawienia. Po kliknięciu przycisku Dalej rozpocznie się instalacja kontrolera domeny. Po zakończeniu zostanie wyświetlony monit o ponowne uruchomienie serwera.

To wszystko, że kontroler domeny RODC jest zainstalowany i działa! Teraz po zainstalowaniu pierwszego serwera RODC można zainstalować dodatkowe kontrolery RODC, ale przed kontynuowaniem tego procesu należy poczekać na cykl replikacji AD, w przeciwnym razie wystąpi wiele różnych błędów w usłudze Active Directory.