Работа с Read Only Domain Controller (часть 3)

В прошлых статьях этого цикла (rodc часть 1, и работа с rodc часть 2) вы поговорили о теории и преимуществах новой технологии от Microsoft, которая называется Read Only Domain Controller. В этой статье я расскажу о процедуре развертывания такого контроллера домена.

Перед началом работы

В начале на свой сервер, который вы планируете использовать в качестве RODC, вы должны установить ОС Windows Server 2008 и присоединить его к домену AD. Технически возможно создать Read Only Domain Controller из сервера, который первоначально не включен в домен, однако в своей статье я описываю случай, когда этот сервер уже является рядовым сервером домена.

Функциональный уровень леса

Прежде чем начать, вы должны убедиться, что функциональный уровень леса у вас Windows Server 2003 или выше. Для этого откройте оснастку «Active Directory Domains and Trusts». В окне консоли щелкните правой кнопкой мыши по вашему лесу Active Directory, и выберите команду «Properties» из появившегося контекстного меню. На рисунке видно, что функциональный уровень леса отображен на вкладке «General».

Функциональный уровень леса ADВозможно в вашем случае придется подготовить домен для установки Windows Server 2008/R2.Если уровень  леса является недостаточным, вы должны поднять его. Имейте в виду, что это означает, что вы больше не сможете использовать контроллеры домена Windows 2000 в своем лесу.

Итак, чтобы повысить уровень леса AD, еще раз нажмите правой клавишей по своему лесу и выберите команду «Raise Forest Functional level», в появившемся окне выберите «Windows Server 2003» и нажмите кнопку Raise.

Обновление разделов Application Directory

На следующем этапе вы должны обновить разрешения  на все ветки приложений (application directory) в вашем лесу. В результате чего появится возможность управления репликацией этих разделов на Read Only Domain Controller.

Для этого вставьте ваш дистрибутив с Windows Server 2008 в контроллер домена, который был назначен в качестве хозяина схемы (schema master). Далее, скопируйте с дистрибутива папку  \Sources\Adprep в любую папку на жестком диске сервера. Наконец, откройте окно командной строки и перейдите в только что созданную папку ADPREP, и выполнить следующую команду:

ADPREP /RODCPREP

Обновление AD ADPREP /RODCPREP

Повышение сервера до контроллера домена

Процесс преобразования простого сервера в Read Only Domain Controller очень похож на процедуру создания обычного контроллера домена.

Сначала зайдите на сервер с учетной записью, которая является членом группы администраторов домена (Domain Admins). В командной строке наберите DCPROMO. В результате запустится мастер установки Active Directory Domain Services.

На первом экране мастера отметьте галочкой флажок «Use Advanced Mode Installation» и нажмите «Далее».

Мастер установки Active Directory Domain Services

Мастер спросит вас о том, для какого домена вы  планируете установить контроллер. Выберите опцию – добавить контроллер домена в существующий домен (add the domain controller to an existing domain).

Как добавить контроллер домена в существующий домен

Нажмите кнопку «Далее», и мастер попросит вас указать имя домена, в который вы планируете добавить контроллер домена. Введите имя вашего домена в соответствующее окно.

Выбор имени домена

Следующее окно является немного избыточным, в нем вы подтверждаете выбор домена.

Подтверждаем выбор домена

В следующем окне мастера вам нужно будет указать сайт AD, в который вы хотите поместить новый контроллер домена. Данное окно особо важно при размещении нового контроллера домена в филиале, ведь, как правило, филиалы находятся в отдельных сайтах Active Directory.

Выбор сайта для домена AD

Далее  вам будет предложено выбрать дополнительные опции для контроллера домена. Очевидно, что вам нужно отметить галочкой опцию «Read Only Domain Controller», но также было бы неплохо сделать этот контроллер DNS сервером и сервером глобального каталога.

Выбор параметров контроллера доменаВ следующем окне мастера установки контроллера домена вам будет необходимо выбрать политику репликации паролей, здесь вы должны указать какие пароли могут быть реплицированы на Read Only Domain Controller. Вы можете указать свои настройки, но обычно настройки по умолчанию, достаточно правильны.

Указываем пароли каких учетных записей могут быть реплицированы на Read Only Domain Controller

Нажмите далее, и вам будет предоставлена возможность делегировать пользователю или группе права на управление сервером RODC (процедуру делегирования прав на rodc можно выполнить и позже).

На следующем экране вы сможете указать хотите ли выполнить репликацию данных по сети с ближайшего контроллера домена или вы хотите создать базу данных Active Directory из файла. Создание базы данных Active Directory из файла удобно в случаях, если у вас достаточно большая база данных и медленное соединение.

В следующем окне будет предложено выбрать партнера репликации для контроллера домена. Как правило, система автоматически выберет оптимального партнера по репликации.

Метод установки базы AD

После нажатия кнопки «Next», вы попадете в знакомый вам экран, в котором необходимо выбрать местохранения  базы данных Active Directory. Выберите необходимый путь к БД и  нажмите кнопку «Далее».

Далее вам будет предложено указать пароль для режима восстановления службы каталогов (Directory Services Restore Mode). Введите пароль и нажмите кнопку Далее.

Следующее окно будет результирующим, на нем вы сможете просмотреть все указанные вами настройки. После нажатия кнопки Next начнется процесс установки   контроллера домена. После его окончания вам будет предложено перезагрузить сервер.

Вот и все контроллер домена RODC установлен и работоспособен! Теперь после установки первого сервера RODC, вы можете установить дополнительные контроллеры RODC, но прежде чем приступить к этому процессу вы должны дождаться цикла репликации AD, в противном случае вы получите массу различных ошибок в  Active Directory.


Предыдущая статья Следующая статья

Комментариев: 12 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)