Работа с Read Only Domain Controller (часть 3) | Windows для системных администраторов

Работа с Read Only Domain Controller (часть 3)

В прошлых статьях этого цикла (rodc часть 1, и работа с rodc часть 2) вы поговорили о теории и преимуществах новой технологии от Microsoft, которая называется Read Only Domain Controller. В этой статье я расскажу о процедуре развертывания такого контроллера домена.

Перед началом работы


В начале на свой сервер, который вы планируете использовать в качестве RODC, вы должны установить ОС Windows Server 2008 и присоединить его к домену AD. Технически возможно создать Read Only Domain Controller из сервера, который первоначально не включен в домен, однако в своей статье я описываю случай, когда этот сервер уже является рядовым сервером домена.

Функциональный уровень леса


Прежде чем начать, вы должны убедиться, что функциональный уровень леса у вас Windows Server 2003 или выше. Для этого откройте оснастку «Active Directory Domains and Trusts». В окне консоли щелкните правой кнопкой мыши по вашему лесу Active Directory, и выберите команду «Properties» из появившегося контекстного меню. На рисунке видно, что функциональный уровень леса отображен на вкладке «General».

Функциональный уровень леса ADВозможно в вашем случае придется подготовить домен для установки Windows Server 2008/R2.Если уровень  леса является недостаточным, вы должны поднять его. Имейте в виду, что это означает, что вы больше не сможете использовать контроллеры домена Windows 2000 в своем лесу.

Итак, чтобы повысить уровень леса AD, еще раз нажмите правой клавишей по своему лесу и выберите команду «Raise Forest Functional level», в появившемся окне выберите «Windows Server 2003» и нажмите кнопку Raise.

Обновление разделов Application Directory

На следующем этапе вы должны обновить разрешения  на все ветки приложений (application directory) в вашем лесу. В результате чего появится возможность управления репликацией этих разделов на Read Only Domain Controller.

Для этого вставьте ваш дистрибутив с Windows Server 2008 в контроллер домена, который был назначен в качестве хозяина схемы (schema master). Далее, скопируйте с дистрибутива папку  \Sources\Adprep в любую папку на жестком диске сервера. Наконец, откройте окно командной строки и перейдите в только что созданную папку ADPREP, и выполнить следующую команду:

ADPREP /RODCPREP

Обновление AD ADPREP /RODCPREP

Повышение сервера до контроллера домена

Процесс преобразования простого сервера в Read Only Domain Controller очень похож на процедуру создания обычного контроллера домена.

Сначала зайдите на сервер с учетной записью, которая является членом группы администраторов домена (Domain Admins). В командной строке наберите DCPROMO. В результате запустится мастер установки Active Directory Domain Services.

На первом экране мастера отметьте галочкой флажок «Use Advanced Mode Installation» и нажмите «Далее».

Мастер установки Active Directory Domain Services

Мастер спросит вас о том, для какого домена вы  планируете установить контроллер. Выберите опцию – добавить контроллер домена в существующий домен (add the domain controller to an existing domain).

Как добавить контроллер домена в существующий домен

Нажмите кнопку «Далее», и мастер попросит вас указать имя домена, в который вы планируете добавить контроллер домена. Введите имя вашего домена в соответствующее окно.

Выбор имени домена

Следующее окно является немного избыточным, в нем вы подтверждаете выбор домена.

Подтверждаем выбор домена

В следующем окне мастера вам нужно будет указать сайт AD, в который вы хотите поместить новый контроллер домена. Данное окно особо важно при размещении нового контроллера домена в филиале, ведь, как правило, филиалы находятся в отдельных сайтах Active Directory.

Выбор сайта для домена AD

Далее  вам будет предложено выбрать дополнительные опции для контроллера домена. Очевидно, что вам нужно отметить галочкой опцию «Read Only Domain Controller», но также было бы неплохо сделать этот контроллер DNS сервером и сервером глобального каталога.

Выбор параметров контроллера доменаВ следующем окне мастера установки контроллера домена вам будет необходимо выбрать политику репликации паролей, здесь вы должны указать какие пароли могут быть реплицированы на Read Only Domain Controller. Вы можете указать свои настройки, но обычно настройки по умолчанию, достаточно правильны.

Указываем пароли каких учетных записей могут быть реплицированы на Read Only Domain Controller

Нажмите далее, и вам будет предоставлена возможность делегировать пользователю или группе права на управление сервером RODC (процедуру делегирования прав на rodc можно выполнить и позже).

На следующем экране вы сможете указать хотите ли выполнить репликацию данных по сети с ближайшего контроллера домена или вы хотите создать базу данных Active Directory из файла. Создание базы данных Active Directory из файла удобно в случаях, если у вас достаточно большая база данных и медленное соединение.

В следующем окне будет предложено выбрать партнера репликации для контроллера домена. Как правило, система автоматически выберет оптимального партнера по репликации.

Метод установки базы AD

После нажатия кнопки «Next», вы попадете в знакомый вам экран, в котором необходимо выбрать местохранения  базы данных Active Directory. Выберите необходимый путь к БД и  нажмите кнопку «Далее».

Далее вам будет предложено указать пароль для режима восстановления службы каталогов (Directory Services Restore Mode). Введите пароль и нажмите кнопку Далее.

Следующее окно будет результирующим, на нем вы сможете просмотреть все указанные вами настройки. После нажатия кнопки Next начнется процесс установки   контроллера домена. После его окончания вам будет предложено перезагрузить сервер.

Вот и все контроллер домена RODC установлен и работоспособен! Теперь после установки первого сервера RODC, вы можете установить дополнительные контроллеры RODC, но прежде чем приступить к этому процессу вы должны дождаться цикла репликации AD, в противном случае вы получите массу различных ошибок в  Active Directory.

Еще записи по теме: Active Directory, Windows Server 2008
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 12

Оставить комментарий
  1. Sergey | 02.05.2011

    Непонятно как заводить учетные записи компьютеров в филиале.
    Тоже на главном сервере?

    Ответить
  2. oleg | 03.05.2011

    Так вы же заводите записи компьютеров не на RODC, а на нормальном контроллере домена!
    Даже если в вашем офисе есть только, контроллер rodc, при включении компьютера в домен, запрос пересылается на ближайший стандартный контроллер.
    И только потом, вы можете настроить репликацию созданной учетной записи компьютера на конкретный RODC

    Ответить
  3. Roman | 12.07.2011

    Олег, а если упадёт основной контроллер домена, то можно ли востановить потом его из RODC? и я так понимаю, что можно будет продолжать работать на RODC если кэшированы пароли, но с внесением изменений уже никак также в отсутсвии основного?

    Ответить
  4. itpro | 20.07.2011

    Насколько я понимаю, восстановить не получится.
    Но при неработоспособном основном контроллере домена, можно работать с RODC, если пароли учетки хранятся на нем (ведь rodc конроллер предназначен именно для филиалов, подключенных через узкий/нестабильный/ периодически пропадающий канал)

    Ответить
  5. dimon | 16.01.2012

    для функционирования RODC достаточно уровня леса 2003 с расширенной схемой 2008 и выполненной /rodcprep или требуется наличие хотя бы одного контроллера на 2008?
    просто у нас лес 2003, раньше была дочка на контроллере 2008. решили избавиться от дочернего домена и поставить туда RODC.
    однако, при поднятии сервера до контроллера галочкой «Read Only Domain Controller» серая, а описании внизу написано, что требуется наличие контроллера домена на 2008 сервере.

    Ответить
  6. Алексей | 02.09.2014

    Добрый день. А какие объекты можно передавать на RODC?

    Ответить
    • itpro | 03.09.2014

      Если правильно понял Ваш вопрос, на RODC контроллер домена передаются (хранятся) все атрибуты всех объектов AD кроме паролей учетных записей (кроме списка разрешенных)

      Ответить
  7. Alex | 23.01.2015

    Не совсем понятно зачем ставить галку Global Catalog, или имеется ввиду что данные AD будут стягиваться с GC??

    Ответить
    • itpro | 26.01.2015

      В мультидоменной инфраструктуре рекомендуется всем DC назначать роль Global Catalog (GC). Эту ускоряет поиск по дереву доменов, кроме того при отключении связи с филиалом (в котором стоит RODC) могут быть проблемы с проверкой членства в универсальных группах при логоне пользователей.

      Ответить
  8. Сергей | 12.10.2015

    Развернул в филиале RODC и столкнулся с такой проблемой. RODC не входит в число NS-серверов домена. Говоря простыми словами — его нет в списке серверов при выполнении команды nslookup contoso.com. Команда возвращает список всех DNS-серверов домена, но RODC там нет.

    Полагаю, это является причиной второй проблемы: не смотря на то, что я пытаюсь авторизоваться под пользователем, который в группе разрешенных к кешированию на RODC, logonserver при авторизации — этой мой PDC, расположенный в головном офисе. иными словами — не будет линка в головной офис — ни кто не сможет авторизоваться. Что я неправильно сделал?

    Ответить
  9. Roman | 12.10.2015

    Сергей, аналогичная проблема.. на филиале поднял RODC, но не могу подключиться по rdp, ругается на DNS, DNS показывает ошибку 4015: The DNS server has encountered a critical error from the Active Directory. Check that the Active Directory is functioning properly. The extended error debug information (which may be empty) is «000006BA: SvcErr: DSID-03210BEB, problem 5012 (DIR_ERROR), data 0″. The event data contains the error.
    nslookup тоже не показывает сервер RODC. И ещё в менеджере сервера вкладка Роли не раскрывается, пишет ошибка((

    Ответить
  10. Сергей | 13.10.2015

    Пока решил свою проблему созданием A-записей в DNS на мастере и добавлением RODC в список NS-серверов. Не уверен, что это правильно. Где-то читал, что RODC не может быть NS-сервером. Может ошибаюсь. Итог этого рукожопства — RODC таки стал для клиентов в этом сайте logonserver-ом. Но. Если я кладу линк до мастера, начинаются прблемы с загрузками профилей и перенаправленными папками. Непонятно, зачем им мастер в таком случае, ведь DFS в этом сайте есть и профили он оттуда явно берет, и ссылается на DFS-сервер в этом сайте (он же RODC). Ничо не понимаю…

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.27MB/0.00108 sec