У попередніх статтях цього циклу (rodc частина 1, і робота з rodc частина 2) ви поговорили про теорію і переваги нової технології від Microsoft, яка називається Read Only Domain Controller. У цій статті я розповім про процедуру розгортання такого контролера домену.
Перед початком роботи
На початку на свій сервер, який ви плануєте використовувати в якості RODC, ви повинні встановити ОС Windows Server 2008 і приєднати його до домену AD. Технічно можливо створити Read Only Domain Controller з сервера, який спочатку не включений в домен, проте в своїй статті я описую випадок, коли цей сервер вже є рядовим сервером домена.
Функціональний рівень лісу
Перш ніж почати, ви повинні переконатися, що функціональний рівень лісу у вас Windows Server 2003 або вище. Для цього відкрийте оснащення "Active Directory Domains and Trusts". У вікні консолі клацніть правою кнопкою миші на вашу лісі Active Directory, і виберіть команду "Properties" з контекстного меню. На малюнку видно, що функціональний рівень лісу відображений на вкладці "General".
Можливо в вашому випадку доведеться підготувати домен для установки Windows Server 2008 / R2.Еслі рівень лісу є недостатнім, ви повинні підняти його. Майте на увазі, що це означає, що ви більше не зможете використовувати контролери домену Windows 2000 в своєму лісі.
Отже, щоб підвищити рівень лісу AD, ще раз натисніть правою клавішею по своєму лісі і виберіть команду "Raise Forest Functional level", у вікні виберіть "Windows Server 2003" та натисніть кнопку Raise.
Оновлення розділів Application Directory
На наступному етапі ви повинні оновити дозволу на все гілки додатків (application directory) в вашому лісі. В результаті чого з'явиться можливість управління реплікацією цих розділів на Read Only Domain Controller.
Для цього вставте ваш дистрибутив з Windows Server 2008 в контролер домену, який був призначений в якості господаря схеми (schema master). Далі, скопіюйте з дистрибутива папку \ Sources \ Adprep в будь-яку папку на жорсткому диску сервера. Нарешті, відкрийте вікно командного рядка і перейдіть в тільки що створену папку ADPREP, і виконати наступну команду:
ADPREP / RODCPREP
Підвищення сервера до контролера домену
Процес перетворення простого сервера в Read Only Domain Controller дуже схожий на процедуру створення звичайної контролера домену.
Спочатку зайдіть на сервер з обліковим записом, яка є членом групи адміністраторів домену (Domain Admins). У командному рядку наберіть DCPROMO. В результаті запуститься майстер установки Active Directory Domain Services.
На першому екрані майстра відзначте галочкою прапорець "Use Advanced Mode Installation" і натисніть "Далі".
Майстер запитає вас про те, для якого домену ви плануєте встановити контролер. Виберіть опцію - додати контролер домену в існуючий домен (add the domain controller to an existing domain).
Натисніть кнопку "Далі", і майстер попросить вас вказати ім'я домену, в який ви плануєте додати контролер домену. Введіть ім'я вашого домену в відповідне вікно.
Наступне вікно є трохи надлишковим, в ньому ви підтверджуєте вибір домену.
У наступному вікні майстра вам потрібно буде вказати сайт AD, в який ви хочете помістити новий контролер домену. Дане вікно особливо важливо при розміщенні нового контролера домену в філії, адже, як правило, філії знаходяться в окремих сайтах Active Directory.
Далі вам буде запропоновано вибрати додаткові опції для контролера домену. Очевидно, що вам потрібно відзначити галочкою опцію "Read Only Domain Controller", але також було б непогано зробити цей контролер DNS сервером і сервером глобального каталогу.
У наступному вікні майстра установки контролера домена вам буде необхідно вибрати політику реплікації паролів, тут ви повинні вказати які паролі можуть бути реплікуються на Read Only Domain Controller. Ви можете вказати свої настройки, але зазвичай стандартні параметри, досить правильні.
Натисніть далі, і вам буде надана можливість делегувати користувачеві або групі права на управління сервером RODC (процедуру делегування прав на rodc можна виконати і пізніше).
На наступному екрані ви зможете вказати чи хочете виконати реплікацію даних по мережі з найближчого контролера домену або ви хочете створити базу даних Active Directory з файлу. Створення бази даних Active Directory з файлу зручно у випадках, якщо у вас досить велика база даних і повільне з'єднання.
У наступному вікні буде запропоновано вибрати партнера реплікації для контролера домену. Як правило, система автоматично вибере оптимального партнера по реплікації.
Після натискання кнопки "Next", ви потрапите в знайомий вам екран, в якому необхідно вибрати местохраненія бази даних Active Directory. Виберіть необхідний шлях до БД і натисніть кнопку "Далі".
Далі вам буде запропоновано вказати пароль для режиму відновлення служби каталогів (Directory Services Restore Mode). Введіть пароль і натисніть кнопку Далі.
Наступне вікно буде результуючим, на ньому ви зможете переглянути всі зазначені вами настройки. Після натискання кнопки Next почнеться процес установки контролера домена. Після його закінчення вам буде запропоновано перезавантажити сервер.
Ось і все контролер домену RODC встановлений і працездатний! Тепер після установки першого сервера RODC, ви можете встановити додаткові контролери RODC, але перш ніж приступити до цього процесу ви повинні дочекатися циклу реплікації AD, в іншому випадку ви отримаєте масу різних помилок в Active Directory.
