В прошлых статьях этого цикла (rodc часть 1, и работа с rodc часть 2) вы поговорили о теории и преимуществах новой технологии от Microsoft, которая называется Read Only Domain Controller. В этой статье я расскажу о процедуре развертывания такого контроллера домена.
Перед началом работы
В начале на свой сервер, который вы планируете использовать в качестве RODC, вы должны установить ОС Windows Server 2008 и присоединить его к домену AD. Технически возможно создать Read Only Domain Controller из сервера, который первоначально не включен в домен, однако в своей статье я описываю случай, когда этот сервер уже является рядовым сервером домена.
Функциональный уровень леса
Прежде чем начать, вы должны убедиться, что функциональный уровень леса у вас Windows Server 2003 или выше. Для этого откройте оснастку «Active Directory Domains and Trusts». В окне консоли щелкните правой кнопкой мыши по вашему лесу Active Directory, и выберите команду «Properties» из появившегося контекстного меню. На рисунке видно, что функциональный уровень леса отображен на вкладке «General».
Возможно в вашем случае придется подготовить домен для установки Windows Server 2008/R2.Если уровень леса является недостаточным, вы должны поднять его. Имейте в виду, что это означает, что вы больше не сможете использовать контроллеры домена Windows 2000 в своем лесу.
Итак, чтобы повысить уровень леса AD, еще раз нажмите правой клавишей по своему лесу и выберите команду «Raise Forest Functional level», в появившемся окне выберите «Windows Server 2003» и нажмите кнопку Raise.
Обновление разделов Application Directory
На следующем этапе вы должны обновить разрешения на все ветки приложений (application directory) в вашем лесу. В результате чего появится возможность управления репликацией этих разделов на Read Only Domain Controller.
Для этого вставьте ваш дистрибутив с Windows Server 2008 в контроллер домена, который был назначен в качестве хозяина схемы (schema master). Далее, скопируйте с дистрибутива папку \Sources\Adprep в любую папку на жестком диске сервера. Наконец, откройте окно командной строки и перейдите в только что созданную папку ADPREP, и выполнить следующую команду:
ADPREP /RODCPREP
Повышение сервера до контроллера домена
Процесс преобразования простого сервера в Read Only Domain Controller очень похож на процедуру создания обычного контроллера домена.
Сначала зайдите на сервер с учетной записью, которая является членом группы администраторов домена (Domain Admins). В командной строке наберите DCPROMO. В результате запустится мастер установки Active Directory Domain Services.
На первом экране мастера отметьте галочкой флажок «Use Advanced Mode Installation» и нажмите «Далее».
Мастер спросит вас о том, для какого домена вы планируете установить контроллер. Выберите опцию – добавить контроллер домена в существующий домен (add the domain controller to an existing domain).
Нажмите кнопку «Далее», и мастер попросит вас указать имя домена, в который вы планируете добавить контроллер домена. Введите имя вашего домена в соответствующее окно.
Следующее окно является немного избыточным, в нем вы подтверждаете выбор домена.
В следующем окне мастера вам нужно будет указать сайт AD, в который вы хотите поместить новый контроллер домена. Данное окно особо важно при размещении нового контроллера домена в филиале, ведь, как правило, филиалы находятся в отдельных сайтах Active Directory.
Далее вам будет предложено выбрать дополнительные опции для контроллера домена. Очевидно, что вам нужно отметить галочкой опцию «Read Only Domain Controller», но также было бы неплохо сделать этот контроллер DNS сервером и сервером глобального каталога.
В следующем окне мастера установки контроллера домена вам будет необходимо выбрать политику репликации паролей, здесь вы должны указать какие пароли могут быть реплицированы на Read Only Domain Controller. Вы можете указать свои настройки, но обычно настройки по умолчанию, достаточно правильны.
Нажмите далее, и вам будет предоставлена возможность делегировать пользователю или группе права на управление сервером RODC (процедуру делегирования прав на rodc можно выполнить и позже).
На следующем экране вы сможете указать хотите ли выполнить репликацию данных по сети с ближайшего контроллера домена или вы хотите создать базу данных Active Directory из файла. Создание базы данных Active Directory из файла удобно в случаях, если у вас достаточно большая база данных и медленное соединение.
В следующем окне будет предложено выбрать партнера репликации для контроллера домена. Как правило, система автоматически выберет оптимального партнера по репликации.
После нажатия кнопки «Next», вы попадете в знакомый вам экран, в котором необходимо выбрать местохранения базы данных Active Directory. Выберите необходимый путь к БД и нажмите кнопку «Далее».
Далее вам будет предложено указать пароль для режима восстановления службы каталогов (Directory Services Restore Mode). Введите пароль и нажмите кнопку Далее.
Следующее окно будет результирующим, на нем вы сможете просмотреть все указанные вами настройки. После нажатия кнопки Next начнется процесс установки контроллера домена. После его окончания вам будет предложено перезагрузить сервер.
Вот и все контроллер домена RODC установлен и работоспособен! Теперь после установки первого сервера RODC, вы можете установить дополнительные контроллеры RODC, но прежде чем приступить к этому процессу вы должны дождаться цикла репликации AD, в противном случае вы получите массу различных ошибок в Active Directory.
Непонятно как заводить учетные записи компьютеров в филиале.
Тоже на главном сервере?
Так вы же заводите записи компьютеров не на RODC, а на нормальном контроллере домена!
Даже если в вашем офисе есть только, контроллер rodc, при включении компьютера в домен, запрос пересылается на ближайший стандартный контроллер.
И только потом, вы можете настроить репликацию созданной учетной записи компьютера на конкретный RODC
Олег, а если упадёт основной контроллер домена, то можно ли востановить потом его из RODC? и я так понимаю, что можно будет продолжать работать на RODC если кэшированы пароли, но с внесением изменений уже никак также в отсутсвии основного?
Насколько я понимаю, восстановить не получится.
Но при неработоспособном основном контроллере домена, можно работать с RODC, если пароли учетки хранятся на нем (ведь rodc конроллер предназначен именно для филиалов, подключенных через узкий/нестабильный/ периодически пропадающий канал)
для функционирования RODC достаточно уровня леса 2003 с расширенной схемой 2008 и выполненной /rodcprep или требуется наличие хотя бы одного контроллера на 2008?
просто у нас лес 2003, раньше была дочка на контроллере 2008. решили избавиться от дочернего домена и поставить туда RODC.
однако, при поднятии сервера до контроллера галочкой «Read Only Domain Controller» серая, а описании внизу написано, что требуется наличие контроллера домена на 2008 сервере.
Добрый день. А какие объекты можно передавать на RODC?
Если правильно понял Ваш вопрос, на RODC контроллер домена передаются (хранятся) все атрибуты всех объектов AD кроме паролей учетных записей (кроме списка разрешенных)
Не совсем понятно зачем ставить галку Global Catalog, или имеется ввиду что данные AD будут стягиваться с GC??
В мультидоменной инфраструктуре рекомендуется всем DC назначать роль Global Catalog (GC). Эту ускоряет поиск по дереву доменов, кроме того при отключении связи с филиалом (в котором стоит RODC) могут быть проблемы с проверкой членства в универсальных группах при логоне пользователей.
Развернул в филиале RODC и столкнулся с такой проблемой. RODC не входит в число NS-серверов домена. Говоря простыми словами — его нет в списке серверов при выполнении команды nslookup contoso.com. Команда возвращает список всех DNS-серверов домена, но RODC там нет.
Полагаю, это является причиной второй проблемы: не смотря на то, что я пытаюсь авторизоваться под пользователем, который в группе разрешенных к кешированию на RODC, logonserver при авторизации — этой мой PDC, расположенный в головном офисе. иными словами — не будет линка в головной офис — ни кто не сможет авторизоваться. Что я неправильно сделал?
Сергей, аналогичная проблема.. на филиале поднял RODC, но не могу подключиться по rdp, ругается на DNS, DNS показывает ошибку 4015: The DNS server has encountered a critical error from the Active Directory. Check that the Active Directory is functioning properly. The extended error debug information (which may be empty) is «000006BA: SvcErr: DSID-03210BEB, problem 5012 (DIR_ERROR), data 0». The event data contains the error.
nslookup тоже не показывает сервер RODC. И ещё в менеджере сервера вкладка Роли не раскрывается, пишет ошибка((
Пока решил свою проблему созданием A-записей в DNS на мастере и добавлением RODC в список NS-серверов. Не уверен, что это правильно. Где-то читал, что RODC не может быть NS-сервером. Может ошибаюсь. Итог этого рукожопства — RODC таки стал для клиентов в этом сайте logonserver-ом. Но. Если я кладу линк до мастера, начинаются прблемы с загрузками профилей и перенаправленными папками. Непонятно, зачем им мастер в таком случае, ведь DFS в этом сайте есть и профили он оттуда явно берет, и ссылается на DFS-сервер в этом сайте (он же RODC). Ничо не понимаю…