Работа с контролер на домейни само за четене (част 3)

В предишни статии от тази поредица (rodc част 1 и работа с rodc част 2) вие говорихте за теорията и предимствата на новата технология на Microsoft, наречена Read Only Domain Controller. В тази статия ще говоря за процедурата за разполагане на такъв контролер на домейн.

Преди да започнете

Първо, на вашия сървър, който планирате да използвате като RODC, трябва да инсталирате Windows Server 2008 и да го присъедините към AD домейна. Технически е възможно да се създаде само за четене на домейн контролер от сървър, който първоначално не е включен в домейна, но в моята статия описвам случая, когато този сървър вече е сървър на домейн член.

Функционално ниво на гората

Преди да започнете, трябва да се уверите, че вашето функционално ниво на гората е Windows Server 2003 или по-високо. За да направите това, отворете щракането на Active Directory Domains and Trusts. В прозореца на конзолата щракнете с десния бутон на мишката върху вашата Active Directory гора и изберете командата "Свойства" от изскачащото меню. Фигурата показва, че функционалното ниво на гората се показва в раздела "Общи".

Може да се наложи да подготвите домейна за инсталиране на Windows Server 2008 / R2 във вашия случай. Ако нивото на гората е недостатъчно, трябва да го повишите. Имайте предвид, че това означава, че вече не можете да използвате контролери за домейни на Windows 2000 във вашата гора.

Така че, за да увеличите нивото на AD AD, отново щракнете с десния бутон върху вашата гора и изберете командата "Повишаване на функционалното ниво на гората", в прозореца, който се показва, изберете "Windows Server 2003" и щракнете върху бутона Повишаване.

Актуализиране на раздели Справочник на приложения

В следващата стъпка трябва да актуализирате разрешенията за всички клонове на приложения във вашата гора. В резултат на това ще бъде възможно да се контролира репликацията на тези секции на контролер само за четене на домейни.

За да направите това, поставете вашия комплект за разпространение с Windows Server 2008 в контролера на домейна, който е зададен като главен схема. След това копирайте папката \ Sources \ Adprep от дистрибуторския пакет в която и да е папка на твърдия диск на сървъра. Накрая отворете прозореца на командния ред и отидете в новосъздадената папка ADPREP и изпълнете следната команда:

ADPREP / RODCPREP


Популяризиране на сървър към контролер на домейн

Процесът на преобразуване на обикновен сървър в контролер само за четене на домейни е много подобен на създаването на обикновен контролер на домейн.

Първо, достъп до сървъра с акаунт, който е член на групата на администратори на домейни. В командния ред въведете DCPROMO. В резултат на това стартира съветникът за инсталиране на Active Directory Domain Services..

На първия екран на съветника поставете отметка в квадратчето "Използване на разширения режим на инсталиране" и щракнете върху "Напред".

Съветникът ще ви попита за кой домейн планирате да инсталирате контролера. Изберете опцията - добавете контролера на домейна към съществуващ домейн).

Щракнете върху „Напред“ и съветникът ще ви помоли да посочите името на домейна, в който смятате да добавите контролера на домейна. Въведете вашето име на домейн в съответния прозорец.

Следващият прозорец е малко излишен, в него потвърждавате избора на домейн.

В следващия прозорец на съветника ще трябва да посочите AD сайта, в който искате да поставите новия контролер на домейн. Този прозорец е особено важен при поставянето на нов контролер на домейн в клон, тъй като по правило клоновете са разположени в отделни сайтове на Active Directory.

След това ще бъдете помолени да изберете допълнителни опции за контролера на домейна. Очевидно е, че трябва да отметнете опцията "Само за четене на домейн контролер", но също така би било хубаво да направите този DNS сървър и глобален сървър на каталога.

В следващия прозорец на съветника за инсталиране на контролер на домейн ще трябва да изберете политика за репликация на парола, тук трябва да посочите кои пароли могат да бъдат репликирани до Контролер на само домейн. Можете да зададете вашите настройки, но обикновено настройките по подразбиране са съвсем правилни.

Щракнете върху следващия и ще ви бъде предоставена възможността да делегирате правата на потребителя или групата за управление на RODC сървъра (процедурата за делегиране на права на rodc може да бъде извършена по-късно).

На следващия екран можете да определите дали искате да репликирате данни през мрежата от най-близкия контролер на домейни или искате да създадете база данни на Active Directory от файл. Създаването на база данни на Active Directory от файл е удобно, ако имате достатъчно голяма база данни и бавна връзка.

Следващият прозорец ще ви подкани да изберете партньор за репликация за контролера на домейна. Обикновено системата автоматично ще избере най-добрия партньор за репликация..

След като щракнете върху бутона „Напред“, ще бъдете отведени до познат на вас екран, в който трябва да изберете местоположението на базата данни на Active Directory. Изберете необходимия път към базата данни и натиснете "Напред".

След това ще бъдете подканени да въведете парола за режим на възстановяване на услугите на директории. Въведете вашата парола и щракнете върху Напред..

Следващият прозорец ще бъде резултатът, в него можете да видите всички настройки, които сте посочили. След натискане на бутона Next ще започне инсталирането на контролера на домейна. След приключването му ще бъдете подканени да рестартирате сървъра.

Това е всичко, което контролерът на домейна RODC е инсталиран и работи! Сега, след като инсталирате първия сървър на RODC, можете да инсталирате допълнителни RODC контролери, но преди да започнете този процес, трябва да изчакате цикъла на репликация на AD, в противен случай ще получите много различни грешки в Active Directory.