Установка контроллера домена только для чтения (RODC) может быть выполнена поэтапно, при этом установку в два этапа выполняют различные лица. Для выполнения каждого из этапов установки может использоваться мастер установки службы AD DS.
- Использование
расширенного режима установки
- Настройка дополнительных
параметров контроллера домена
- Делегирование установки
и администрирования контроллера домена только для чтения
- Определение политики
репликации паролей
- Выбор учетной записи
контроллера домена только для чтения
Описание поэтапной установки RODC
На первом этапе установки создается учетная запись RODC в службе AD DS (Active Directory Domain Service). На втором этапе установки реальный сервер, который станет RODC, связывается с ранее созданной для него учетной записью.
В течение первого этапа мастер установки службы AD DS записывает в распределенную базу данных Active Directory все данные о RODC, которые будут храниться, например имя учетной записи контроллера домена RODC и сайт, в котором он будет находиться. Этот этап должен выполняться членом группы «Администраторы домена».
Пользователь, создающий учетную запись RODC, в этот момент также может определить, какие пользователи или группы смогут выполнить следующий этап установки. Следующий этап установки может быть выполнен в филиале любым пользователем или членом группы, которым делегировано право завершения установки при возданной учетной записи. Этот этап не требует членства ни в каких встроенных группах, таких как группа «Администраторы домена». Если пользователь, создающий учетную запись RODC, не определил никакого делегирования для завершения установки (и администрирования RODC), завершить установку сможет только член группы «Администраторы домена» или член группы «Администраторы предприятия».
На втором этапе установки с помощью мастера устанавливается служба AD DS на сервере, который станет RODC. Этот этап обычно проходит в филиале, где и развертывается RODC. На этом этапе на самом RODC создаются все данные службы AD DS, которые размещаются локально, такие как база данных, файлы журналов и т. д. Файлы источника установки могут быть реплицированы на RODC с другого контроллера домена по сети, либо можно использовать возможность установки с носителя. При установке с носителя, чтобы создать специальный носитель для установки RODC, используйте программу Ntdsutil.exe. Для получения дополнительных сведений об использовании установки с носителя см. Установка с носителя.
Сервер, который станет RODC, не должен быть членом домена до того, как будет предпринята попытка связать его с учетной записью RODC. В процессе установки мастер установки службы AD DS автоматически определяет, соответствует ли имя сервера именам любых учетных записей RODC, заранее созданных для домена. Обнаружив соответствующее имя учетной записи, мастер предлагает пользователю использовать эту учетную запись для выполнения установки RODC.
Сценарий выполнения поэтапной установки
Если в организации используется поэтапная установка, развертывание контроллера домена в филиале может быть выполнено эффективнее, чем в предыдущих версиях Windows Server. Например, член группы «Администраторы домена» в центральном офисе может создать учетную запись RODC в службе AD DS. На этом этапе установки выполняются все задачи развертывания, требующие учетных данных группы «Администраторы домена», например создание учетной записи компьютера для контроллера домена, определение для него сайта и создание для сервера связанного объекта параметров NTDS.
Создавая учетную запись RODC, член группы «Администраторы домена» может делегировать другому пользователю или группе безопасности право завершить установку RODC в филиале. Задача связывания сервера с существующей учетной записью RODC необязательно должна выполняться членом группы «Администраторы домена». Эту задачу может выполнить любой делегированный администратор (или член делегированной группы), указанный членом группы «Администраторы домена» на первом этапе установки.
Организация может заказать и доставить сервер прямо в филиал, в котором необходимо выполнить установку RODC. В прошлом контроллеры доменов для филиалов часто приходилось заказывать и доставлять в центральный офис или на специализированную площадку для сборки и лишь потом отправлять их в филиалы, где эти контроллеры должны быть развернуты. В качестве альтернативы в центральном офисе создавался носитель для установки, который затем доставлялся в филиал для выполнения установки контроллера домена. Поэтапная установка RODC упрощает процесс развертывания контроллера домена, устраняя описанные промежуточные действия по установке.
Выполнение поэтапной установки
Перед установкой RODC необходимо подготовить лес, выполнив команду adprep /rodcprep. Дополнительные сведения о подготовке леса с помощью команды adprep см. в разделе Выбор конфигурации развертывания службы AD DS.
Затем с помощью оснастки «Active Directory - пользователи и компьютеры» можно создать учетную запись RODC. В дереве консоли либо щелкните правой кнопкой мыши контейнер Контроллеры домена, либо щелкните контейнер Контроллеры домена и выберите Действие, а затем выберите Предварительное создание учетной записи контроллера домена, доступного только для чтения.
Учетную запись RODC также можно создать, выполнив из командной строки команду dcpromo, но при этом в ней также необходимо указать имя домена, в котором устанавливается RODC. В командной строке введите следующую команду и нажмите клавишу ВВОД:
dcpromo /CreateDCAccount /ReplicaDomainDNSName:имя_домена
где имя_домена - это имя домена, в котором планируется установить RODC.
Созданная учетная запись RODC появляется в контейнере Контроллеры домена как незанятая учетная запись контроллера домена, пока делегированный пользователь не свяжет с ней сервер.
Назначив для сервера статический IP-адрес и настроив параметры клиента DNS, делегированный администратор может запустить мастер установки службы AD DS, чтобы связать сервер в филиале с существующей учетной записью RODC. Чтобы связать сервер с существующей учетной записью, откройте окно командной строки на сервере, который станет контроллером домена, введите следующую команду и нажмите клавишу ВВОД:
dcpromo /UseExistingAccount:Attach
Делегированный администратор получает уведомление об установке двоичных файлов службы AD DS. Затем мастер установки службы AD DS автоматически запустит второй этап установки. Делегированный администратор может добавить в команду dcpromo параметр /adv, а также установить флажок Использовать расширенный режим установки на странице Вас приветствует мастер установки доменных служб Active Directory, чтобы задать следующие дополнительные параметры установки:
- будут ли данные реплицироваться по сети или с
носителя;
- какой контроллер домена будет использоваться
в качестве партнера по установке.
На странице Сетевые учетные данные мастера делегированный администратор должен ввести имя любого домена в лесу, в котором устанавливается данный RODC, а также альтернативные учетные данные, которые будут использоваться для установки. Альтернативные учетные данные необходимы для связывания сервера с существующей учетной записью контроллера домена, так как оно может выполняться только пользователем домена. Но делегированный администратор первоначально входит на сервер, используя учетную запись локального администратора, так как сервер еще не присоединен к домену. Следовательно, делегированный администратор теперь должен указать учетную запись пользователя домена (или учетную запись, являющуюся членом делегированной группы администрирования), которой при создании учетной записи RODC членом группы «Администраторы домена» было делегировано право установки и администрирования RODC.
Удаление службы AD DS с RODC
Делегированный администратор может удалить службу AD DS с RODC, используя программу Dcpromo.exe. Мастер установки службы AD DS запрашивает данные, в том числе пароль для новой учетной записи локального администратора, необходимые для удаления службы AD DS и превращения компьютера в автономный сервер. Для выполнения удаления службы AD DS сервер необходимо перезагрузить.
Обнаружение конфликтов учетной записи и имени компьютера
После того, как делегированный администратор выберет имя учетной записи RODC, с которой связывается сервер, мастер установки службы AD DS проверяет, что эта учетная запись в настоящее время не используется активным контроллером домена. Если проверка проходит успешно, мастер автоматически пытается связать сервер с этой учетной записью, чтобы выполнить установку.
Если мастер не находит учетную запись компьютера с соответствующим именем, он предоставляет делегированному администратору возможность переименовать сервер, присвоив ему другое имя, соответствующее существующей учетной записи компьютера, или предпринять другие действия для разрешения конфликта имен.
Если мастер обнаруживает соответствующее имя учетной записи контроллера домена, но учетная запись активирована, мастер пытается связаться с соответствующим контроллером домена, чтобы проверить, включен ли он. Затем мастер выполняет следующие действия:
- Если мастер может проверить, что другой
контроллер домена с тем же именем включен, он блокирует выполнение
установки службы AD DS. В этом случае сервер, на котором
выполняется установка RODC, должен быть переименован в соответствии
с именем учетной записи еще не используемого RODC.
- Если мастер не может проверить, включен ли в
данный момент другой контроллер домена с таким же именем, он
предупреждает делегированного администратора, что продолжение
установки приведет к неправильной работе контроллера домена с таким
же именем учетной записи (если он включен) несмотря на то, что
мастер не смог с ним связаться.
Такая ситуация может возникнуть, если ранее была предпринята попытка связать сервер с существующей учетной записью, но эта попытка была прервана до завершения установки. В этом случае статус учетной записи RODC до завершения установки мог измениться с отключенной на включенную. При этом делегированный администратор, получив предупреждение, может нажать кнопку ОК для продолжения.
Для получения дополнительных сведений см. Выбор учетной записи контроллера домена только для чтения.