Встановлення RODC

RODC (Read-Only Domain Controller) - тип контролера домену, що з'явився в Windows Server 2008, призначений для установки в офіси, де не гарантується фізична безпека контролера домену. Основним завданням RODC є покращення безпеки в офісах філій компанії, оскільки контролер RODC підтримує копію всіх об'єктів у домені та всіх атрибутів, крім паролів користувачів. Якщо контролер RODC буде викрадений, зловмисники крім фізичного заліза ні чого не отримають, зокрема- список паролів буде недоступний, і за збереження домену можна не переживати.

Процес встановлення RODC залежить від рівня функціонування лісу (для рівня Windows Server 2000 установка RODC не передбачена)

Умови встановлення RODC у домені з функціональним рівнем Windows Server 2003

- Перед встановленням запустити команду adprep/rodcprep;

- Один з контролерів у домені має бути Windows Server 2008;

- Після цього можна розпочати встановлення RODC.

Умови встановлення RODC у домені з функціональним рівнем Windows Server 2008

- Можна відразу розпочати встановлення RODC

Встановлення контролера домену RODC.

Розглянемо процес встановлення RODC докладніше у функціональному рівні лісу Windows Server 2008 (2008 R2)

Перед встановленням ролі RODC необхідно виконати такі кроки (детальніше описано у статті "Встановлення ролі контролера домену на Windows Server 2008/ 2008 R2 ":

- встановити оновлення на Windows Server 2008 (2008 R2);

- встановити необхідний часовий пояс;

- змінити ім'я комп'ютера (якщо вас не влаштовує нинішнє);

- Налаштувати мережну конфігурацію.

Наступним кроком приступаємо до розгортання ролі контролера домен насервері, для цього запускаємо «Диспетчер сервера- Ролі » , натискаємо «Додати ролі ».

встановлення
Читаємо інформаційне вікно і натискаємо «Далі ».
RODC
У вікніВибору ролей сервера ставимо галочку навпроти «Доменні служби Active Directory », з'явиться вікно про встановлення додаткових компонентів, натискаємо «Додати необхідні компоненти ».

RODC
Читаємо інформаційне вікно і натискаємо «Далі ».
встановлення
У вікні Підтвердження, затверджуємо свій вибір і натискаємо «Встановити ».
встановлення
Після цього буде відбуватися встановлення ролей. Після закінчення, якщо все пройшло успішно, побачите вікно з підтвердженням успішної установки, натискаєте «Закрити ».
RODC
На цьому процес установки контролера домену не закінчено, тепер необхідно, як і на Windows Server 2003 запустити команду DCPROMO. Для цього натискаємо «Пуск » і в рядку пошуку пишемоDCPROMO і натискаємо «Enter ».
RODC
Відкриється майстер установки доменних служб AD, натискаємо «Далі ».
RODC
Читаємо чергове інформаційне вікно і натискаємо «Далі ».
встановлення
Оскільки ми налаштовуємо другий домен у лісі, у вікні вибору конфігурації розгортання, вибираємо «Існуючий ліс- Додати контролер домену в існуючий ліс ».
встановлення
Після цього вказуємо ім'я кореневого домену лісу і прописуємо логін і пароль.
RODC
Вибираємо домен для даного додаткового контролера домену.

встановлення

Наступним кроком вибираємо сайт.

встановлення
Вибираємо додаткові параметри для контролера. Зверніть увагу, що саме на цьому кроці необхідно вказати, що цей контролер домену RODC.

встановлення

Задаємо, якщо це необхідно для користувача або групи, яка матиме права для адміністрування RODC

RODC
У наступному вікні можназмінити розташування баз даних, файлів журналу та папки Sysvol. Ці файли найкраще зберігати в трьох окремих папках, де немає програм та інших файлів, які не пов'язані з AD, завдяки цьому підвищиться продуктивність, а також ефективність архівації та відновлення. Тому не рекомендую змінювати шляхи, залишити все як є і натиснути кнопку «Далі ».
RODC
Наступним кроком необхідно ввести пароль адміністратора для запуску режиму відновлення. Оскільки при встановленні на сервер ролі контролера домену таке поняття як локальний адміністратор втрачає всякий сенс.
встановлення

Оскільки, як я писав вище, RODC не зберігає в себе паролі і постійно підключається до іншого контролера домену, може виникнути ситуація, коли зв'язок між RODC і DC буде не доступна і користувачі не зможуть навіть залогінитися під своїми обліковими записами на комп'ютер, для цих цілей для користувачів, що працюють у мережі з RODC, можна включити кешування паролів, таким чином для них обрив зв'язку RODC з DC буде непомітним. Зверніть увагу, для підвищення безпеки RODC не повинен кешувати паролі привелигерованих користувачів та груп (доменних адміністраторів, адміністраторів схеми тощо)

Для того щоб додати користувачів у збереження паролів на RODC необхідно зайти в оснащення "Active Directory - Користувачі та комп'ютери ", вибрати групу "Domain Controllers " знайти назву сервера RODC, натиснути правою кнопкою миші на ньому та вибрати пункт "Властивості ".

RODC

У вікні властивостей заходимо у вкладку "Політика реплікації паролів " і бачимо, що існуюча група "Група з роздільною здатністю реплікації паролів RODC " дозволяє зберігати паролі користувачів, таким чином можна включити до неї необхідних користувачів або групу,а можна явним чином вказати необхідних користувачів або групи зі станом "Дозволити ".

встановлення

Через обмеженість можливостей RODC рекомендую використовувати його лише у випадку можливого крадіжки або загальнодоступності контролера домену.