V minulých článkoch v tejto sérii (rodc časť 1 a práca s rodc časť 2) ste hovorili o teórii a výhodách novej technológie spoločnosti Microsoft s názvom Read Only Domain Controller. V tomto článku budem hovoriť o postupe nasadenia takéhoto radiča domény.
Než začnete
Najprv musíte na serveri, ktorý chcete používať ako RODC, nainštalovať systém Windows Server 2008 a pripojiť sa k doméne AD. Technicky je možné vytvoriť radič domény iba na čítanie zo servera, ktorý nie je pôvodne zahrnutý v doméne, avšak v mojom článku popisujem prípad, keď je tento server už serverom doménovej domény.
Funkčná úroveň lesa
Skôr ako začnete, musíte sa ubezpečiť, že úroveň funkčnosti vašej doménovej štruktúry je Windows Server 2003 alebo vyššia. Otvorte modul snap-in Domény a dôveryhodnosti služby Active Directory. V okne konzoly kliknite pravým tlačidlom myši na štruktúru služby Active Directory a v zobrazenej rozbaľovacej ponuke vyberte príkaz „Vlastnosti“. Obrázok ukazuje, že funkčná úroveň lesa sa zobrazuje na karte „Všeobecné“..
Možno bude potrebné pripraviť doménu na inštaláciu systému Windows Server 2008 / R2 vo vašom prípade. Ak je úroveň doménovej štruktúry nedostatočná, mali by ste ju zvýšiť. Nezabudnite, že to znamená, že v doménovej štruktúre už nemôžete používať radiče domény Windows 2000.
Ak chcete zvýšiť úroveň domén AD, kliknite pravým tlačidlom myši na svoju lesnú štruktúru a vyberte príkaz „Zvýšiť funkčnú úroveň lesa“ v zobrazenom okne vyberte „Windows Server 2003“ a kliknite na tlačidlo Zvýšiť..
Aktualizácia oddielov Application Directory
V ďalšom kroku musíte aktualizovať povolenia pre všetky vetvy aplikácií vo vašej štruktúre. Výsledkom bude, že bude možné riadiť replikáciu týchto oddielov na radiči domény len na čítanie.
Za týmto účelom vložte distribučnú súpravu so systémom Windows Server 2008 do radiča domény, ktorý bol priradený ako hlavný server schémy. Potom skopírujte priečinok \ Sources \ Adprep z distribučného balíka do ľubovoľného priečinka na pevnom disku servera. Nakoniec otvorte okno príkazového riadka a prejdite do novo vytvoreného priečinka ADPREP a spustite nasledujúci príkaz:
ADPREP / RODCPREP
Povýšenie servera na radič domény
Proces konverzie jednoduchého servera na radič domény iba na čítanie je veľmi podobný vytvoreniu bežného radiča domény.
Najprv sa pripojte k serveru pomocou účtu, ktorý je členom skupiny Domain Admins. Do príkazového riadka napíšte DCPROMO. Výsledkom je spustenie sprievodcu inštaláciou doménových služieb Active Directory..
Na prvej obrazovke sprievodcu začiarknite políčko „Použiť inštaláciu rozšíreného režimu“ a kliknite na tlačidlo „Ďalej“..
Sprievodca vás požiada o doménu, pre ktorú chcete nainštalovať radič. Vyberte možnosť - pridajte radič domény do existujúcej domény).
Kliknite na tlačidlo „Ďalej“ a sprievodca vás požiada o zadanie názvu domény, do ktorej chcete pridať radič domény. Do príslušného okna zadajte názov domény.
Nasledujúce okno je trochu nadbytočné, v ktorom potvrdíte výber domény.
V nasledujúcom okne sprievodcu budete musieť určiť lokalitu AD, na ktorú chcete umiestniť nový radič domény. Toto okno je obzvlášť dôležité pri umiestňovaní nového radiča domény do vetvy, pretože vetvy sa spravidla nachádzajú na samostatných serveroch služby Active Directory..
Ďalej sa zobrazí výzva na výber ďalších možností pre radič domény. Je zrejmé, že musíte skontrolovať možnosť „Iba radič domény iba na čítanie“, ale bolo by tiež pekné vytvoriť tento server DNS a server globálneho katalógu..
V ďalšom okne sprievodcu inštaláciou radiča domény budete musieť vybrať politiku replikácie hesiel, tu musíte určiť, ktoré heslá sa môžu replikovať na radič domény len na čítanie. Môžete zadať svoje nastavenia, ale zvyčajne sú predvolené nastavenia úplne správne.
Kliknite na tlačidlo Ďalej a budete mať možnosť delegovať práva používateľa alebo skupiny na správu servera RODC (postup delegovania práv na rodc je možné vykonať neskôr).
Na nasledujúcej obrazovke môžete určiť, či chcete replikovať údaje v sieti z najbližšieho radiča domény alebo či chcete zo súboru vytvoriť databázu Active Directory. Vytvorenie databázy Active Directory zo súboru je vhodné, ak máte dostatočne veľkú databázu a pomalé pripojenie.
V ďalšom okne sa zobrazí výzva na výber partnera replikácie pre radič domény. Systém zvyčajne vyberie najlepšieho partnera pre replikáciu..
Po kliknutí na tlačidlo „Ďalej“ sa dostanete na obrazovku, ktorá je vám známa a na ktorej musíte vybrať umiestnenie databázy Active Directory. Vyberte potrebnú cestu k databáze a kliknite na tlačidlo „Ďalej“..
Ďalej sa zobrazí výzva na zadanie hesla pre režim obnovenia adresárových služieb. Zadajte svoje heslo a kliknite na Ďalej..
Výsledkom bude nasledujúce okno, v ktorom môžete zobraziť všetky zadané nastavenia. Po kliknutí na tlačidlo Ďalej sa začne inštalácia radiča domény. Po jeho dokončení budete vyzvaný na reštartovanie servera.
To je celý radič domény RODC nainštalovaný a funkčný! Teraz po inštalácii prvého servera RODC môžete nainštalovať ďalšie radiče RODC, ale pred pokračovaním v tomto procese by ste mali počkať na replikačný cyklus AD, inak v službe Active Directory získate veľa rôznych chýb..
