Установка контролера домену тільки для читання (RODC) на базі Windows 2012R2 (core), Нотатки

rodc
КРОК4. Встановлення контролера домену лише для читання. Налаштування служб Active Directory, DNS, DHCP.

Передбачається, що у філії ми також маємо Windows Server Core і необхідно розгорнути на ньому контролер домену тільки для читання. Розглянемо два варіанти установки, за допомогою графічного інтерфейсу з Server Manager та за допомогою консолі в Powershell.

За допомогою sconfig , призначимо ім'я контролеру - dc3, дозволимо віддалене управління, додамо сервер в домен.

Активуємо правила на firewall для виявлення сервера по dns та віддаленого керування з Server Manager.

З іншого комп'ютера/сервера переходимо до Server Manager, натискаємо Manage та виберемо Add Servers. У вікні Add Servers, що з'явилося, переходимо на вкладку DNS і знаходимо там наш сервер. Натискаємо ОК.

домену
Якщо бачимо, що в полі Manageability запис змінився на 'Online — Performance counters not started', то можна приступати до процесу розгортання служб AD DS за допомогою майстра додавання ролей та компонентів.

контролера
Отже, за допомогою майстра, відзначаємо для встановлення ролі Active Directory Domain Services, DHCP Server, DNS Server, доходимо до завершального етапу за допомогою кнопки далі і перевантажуємо сервер.

контролера
Після перезавантаження, заходимо в диспетчер сервера, завершимо конфігурацію DHCP-сервера виборомComplete DHCP Configuration, як ми це робили, коли розгортали перший і другий контролери домену.

Тут же, запустимо майстер конфігурації доменних служб Active Directory, вибравши пунктPromote this server to a domain controller — Підвищити цей сервер до контролера домену.

Запуститься майстерActive Directory Domain ServicesConfiguration Wizard (Майстер конфігурації доменних служб Active Directory). Залишаємо перший варіант (за замовчуванням) -Add domain controller to an existing domain - додати додатковий контролер домену в існуючому домені. Зазначимо облікові дані доменного адміністратора. Тиснемо Далі.

читання
На наступному екрані поставимо галочку Read only domain controller (RODC) і вкажемо пароль для режиму відновлення служби каталогів (DSRM).

тільки
На екраніAdditional Option (Додаткові параметри) можна вказати ім'я контролера домену, який використовуватиметься як джерело реплікації. Тиснемо Далі.

домену
На екраніPaths можна змінити шлях до каталогів баз даних, файлів журналу та до SYSVOL. Залишаємо за промовчанням, натискаємо Next.

тільки
На останньому етапі попередніх перевірок, якщо бачимо напис: «All prerequisite checks are passed successfully. Click «install» to begin installation.» ( Усі попередні перевірки пройдені успішно . Натисніть кнопку « встановити » , щоб розпочати установку .), натискаємо Install і чекаємо закінчення процесу установки.

тільки

Другий варіант розгортання сервера RODC, полягає в попередньому створенні облікового запису контролера домену тільки для читання за допомогою спеціального майстра, який можна запустити з оснастки Active Directory Users and Computers. Для цього комп'ютер не повинен бути членом домену і мати мережеве ім'я таке ж, як у майбутнього контролера.

На першому контролері запускаємо оснащення Active Directory Users and Computers, клацаємо правою кнопкою по контейнеру Domain Controllers і вибираємо там Pre-create Read-only Domain Controller account (Попереднє створення облікового запису контролера домену тільки для читання)

установка
НаНа наступному екрані вкажемо майстру облікові дані адміністратора домену (за замовчуванням) або виберемо інший обліковий запис (Alternate credentials), що має адміністративні привілеї. Тиснемо Далі.

читання
Далі вкажемо ім'я комп'ютера, яке ще не зайняте і яке має відповідати імені майбутнього контролера домену лише для читання.

установка
На наступному екрані виберемо сайт, тиснемо Далі.

тільки
На екрані Addional Domain Controller Options (Додаткові параметри контролера домену) погодимося з тим, що контролер виступатиме в ролі DNS-сервера та глобального каталогу. Тиснемо Далі.

rodc
Далі якщо ми, першому етапі включили розширений режим установки, то з'явиться діалогове вікно, де можна задати політику реплікації паролів, тобто. вказати облікові записи, яким дозволено або заборонено кешувати паролі на контролері RODC.

тільки
Наступне діалогове вікно Delegation of RODC installation and Administration (Делегування установки та адміністрування RODC) дозволяє налаштувати спеціального користувача, якому буде дозволено підключати сервер до облікового запису комп'ютера RODC, або групу таких користувачів. Щоб вибрати користувача або групу в домені, натискаємо Set (Вибрати). Користувач або група, зазначені у цьому діалоговому вікні, отримують доступ до RODC з дозволами локального адміністратора. Зазначений користувач або члени цієї групи можуть виконувати в RODC операції з правами, еквівалентними правам групи адміністраторів комп'ютера, при цьому вони не є членами групи адміністраторів домену або вбудованої групи «Адміністратори» домену.

За допомогою цього параметра можна делегувати права на адміністрування філії, не надаючи адміністраторам філії членство у групі адміністраторів домену, але робити це необов'язково.

контролера
На наступному екрані буде показано зведену інформацію про встановлення. Кнопка Export Settings дозволяє експортувати параметри інсталяції у текстовий файл відповідей для подальшої інсталяції з командного рядка за допомогою dcpromo. Натисканням Next підтвердимо установки установки.

Тепер щоб завершити встановлення контролера домену тільки для читання на комп'ютері DC3 з використанням попередньо створеного облікового запису, в диспетчері сервера необхідно додати комп'ютер до списку серверів, після чого запустити майстер конфігурації доменних служб Active Directory.

Для керування 'не доменним комп'ютером' за допомогою диспетчера сервера необхідно додати цей комп'ютер до списку винятків winrm за допомогою наступної команди:

Потім, підключити комп'ютер з використанням облікових даних локального адміністратора вибравши Manage As (Керувати як), інакше диспетчер видасть помилку автентифікації kerberos.

Після того, як комп'ютер набуде статусу 'Online — Performance counters not started', можна приступати до процесу запуску майстра для підвищення комп'ютера до контролера домену. Для цього запускаємо піктограму прапорця у верхній частині вікна Server Manager і вибираємо Promote this server to domain controller. Запуститься вже знайомий нам майстер конфігурації доменних служб Active Directory, але в даному випадку кроків по встановленню буде трохи менше, тому що це не так. основну інформацію ми вже вказали у процесі створення облікового запису.

Отже, вибираємо додатковий контролер домену у існуючому домені, вказуємо облікові дані доменного адміністратора. Тиснемо Далі. Потім майстер радісно відрапортує нам, що виявив у директорії попередньо налаштований обліковий запис контролера домену тільки для читання та запропонує абовикористовувати існуючі параметри (Use existing RODC account) або перевстановлення сервера за новою (Reinstall this domain controller). Вкажемо пароль для режиму відновлення служби каталогів (DSRM) і натискаємо Next.

установка
Потім як у першому випадку, послідовно натискаючи далі, вкажемо контролер домену, який буде використовуватися як джерело реплікації, погодимося з пропонованими за умовчанням, шляхами бази, логів і sysvol, експортуємо скрипт якщо потрібно і нарешті погодимося з пропонованими параметрами натисканням Install . Чекаємо на закінчення процесу установки.

контролера
Не складніше розгорнути контролер домену тільки для читання буде за допомогою команд в powershell.

Спочатку додаємо ролі та супутні служби AD DS, DNS, DHCP.

або аналогічна команда з використанням скрипту:

потім, створимо попередній обліковий запис контролера домену тільки для читання:

Тепер, запускаємо саму установку контролера з встановленим обліковим записом: