Végrehajthatja az írásvédett tartományvezérlők közvetlen hozzáférésű telepítését, amelyben különböző személyek két szakaszban fejezik be a telepítést. A telepítés egyes szakaszait az Active Directory tartományi szolgáltatások telepítési varázslója segítségével fejezheti be.
-
A speciális telepítési üzemmód használata
-
További tartományvezérlő-beállítások megadása
-
Írásvédett tartományvezérlő telepítésének és felügyeletének delegálása
-
Jelszó-replikációs házirendek megadása
-
Írásvédett tartományvezérlői fiók kijelölése
Az RODC két lépésben való telepítésének leírása
A telepítés első szakaszában egy fiókot hoz létre az Active Directory tartományi szolgáltatások összetevőben az írásvédett tartományvezérlő számára. A telepítés második szakaszában a tényleges kiszolgálót (amely az írásvédett tartományvezérlő lesz) az előzőleg a számára létrehozott fiókhoz csatolja.
Az első szakaszban az Active Directory tartományi szolgáltatások telepítési varázslója feljegyzi az elosztott Active Directory-adatbázisban az írásvédett tartományvezérlőről tárolandó összes adatot, többek között az írásvédett tartományvezérlő fiókjának nevét és leendőbeli helyét. Ezt a műveletet a Tartománygazdák csoport tagjának kell végrehajtania.
Az írásvédett tartományvezérlői fiókot létrehozó felhasználó adhatja meg ugyanekkor, hogy mely felhasználók vagy csoportok fejezhetik be a telepítés következő szakaszát. A következő szakaszt a telephely bármely felhasználója vagy egy csoport bármely tagja végrehajthatja, aki a fiók létrehozásakor delegálással megszerezte a telepítés befejezésére vonatkozó jogot. Ehhez a szakaszhoz nem szükséges beépített, például a Tartománygazdák csoport tagjának lenni. Ha az írásvédett tartományvezérlői fiókot létrehozó felhasználó nem ad meg delegálást a telepítés befejezéséhez (és az írásvédett tartományvezérlő felügyeletéhez), csak a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja fejezheti be a telepítést.
A telepítés második szakaszában a varázsló telepíti az Active Directory tartományi szolgáltatások összetevőt azon a kiszolgálón, amely írásvédett tartományvezérlő lesz. Ez a szakasz általában azon a telephelyen megy végbe, ahol az írásvédett tartományvezérlőt üzembe helyezték. Ebben a szakaszban az Active Directory tartományi szolgáltatások helyben tárolt adatai, többek között az adatbázis, a naplófájlok stb. jönnek létre az írásvédett tartományvezérlőn. A telepítési forrásfájlok egy másik tartományvezérlőről az írásvédett tartományvezérlőre replikálódhatnak a hálózaton át, illetve a Telepítés adathordozóról (IFM) szolgáltatás segítségével. Az adathordozóról történő telepítéskor az Ntdsutil.exe program segítségével hozza létre a speciálisan az írásvédett tartományvezérlő telepítéséhez létrehozandó telepítési adathordozót. Az adathordozóról történő telepítéssel kapcsolatban további információt a következő témakörben talál: Telepítés adathordozóról.
Az írásvédett tartományvezérlőnek kinevezett kiszolgáló az írásvédett tartományvezérlői fiókhoz való kapcsolódását megelőzően nem csatlakoztatható a tartományhoz. Az Active Directory tartományi szolgáltatások telepítési varázslója a telepítés során automatikusan észleli, hogy a kiszolgáló neve megegyezik-e a tartományhoz előzetesen létrehozott írásvédett tartományvezérlői fiókok nevével. Amikor a varázsló egyező fióknevet talál, az írásvédett tartományvezérlő telepítésének a befejezéséhez az adott fiók használatára kéri a felhasználót.
Közvetlen hozzáférésű telepítések végrehajtásának forgatókönyve
Közvetlen hozzáférésű telepítések végrehajtásakor a szervezetek a Windows Server korábbi verzióihoz képest sokkal hatékonyabban telepíthetnek egy tartományvezérlőt a telephelyen. Egy központi helyen lévő Tartománygazdák csoport tagja például létrehozhat egy írásvédett tartományvezérlői fiókot az Active Directory tartományi szolgáltatásokban. A telepítés ezen szakaszában befejeződik a tartományi rendszergazda hitelesítő adatait igénylő minden központi telepítési feladat, többek között a számítógépfiók létrehozása a tartományvezérlőhöz, a fiók helyének a megadása és a kiszolgálóhoz tartozó NTDS Settings objektum létrehozása.
Amikor a Tartománygazdák csoport egyik tagja létrehozza az írásvédett tartományvezérlői fiókot, az írásvédett tartományvezérlő telephelyen történő telepítésének befejezésére vonatkozó jogosultságot delegálhat egy másik felhasználó vagy biztonsági csoport számára. A kiszolgáló meglévő írásvédett tartományvezérlői fiókhoz csatolásához nem kell a Tartománygazdák csoport tagjának lennie. Ezt a feladatot a telepítés első szakaszában a Tartománygazdák csoport tagja által megadott bármely delegált rendszergazda (vagy delegált csoporttag) elvégezheti.
A szervezet megrendelheti és közvetlenül a telephelyre szállítja a kiszolgálót, ahol végrehajthatják az írásvédett tartományvezérlő telepítését. Korábban a telephelyek tartományvezérlőit gyakran egy központi vagy szakaszos telepítési helyre kellett szállítani, ahol előbb felépítették azokat, majd ezt követően szállították a telephelyre az üzembe helyezéshez. Másik lehetőség az volt, hogy egy központi helyen telepítési adathordozót hoztak létre, majd a tartományvezérlő telepítéséhez a telephelyre szállították. Az írásvédett tartományvezérlők közvetlen hozzáférésű telepítése a közbenső telepítési lépések kihagyása révén leegyszerűsíti a tartományvezérlők üzembe helyezési folyamatát.
Közvetlen hozzáférésű telepítések végrehajtása
Írásvédett tartományvezérlő telepítése előtt az adprep /rodcprep parancs futtatásával elő kell készítenie az erdőt. Az erdő adprep parancs futtatásával történő előkészítéséről további információt Az Active Directory tartományi szolgáltatások telepítési konfigurációjának kiválasztása című témakörben talál.
Ezt követően az Active Directory – felhasználók és számítógépek beépülő modul segítségével létrehozhatja az írásvédett tartományvezérlői fiókot. A konzolfán kattintson a jobb gombbal a Tartományvezérlők tárolóra, vagy kattintson a Tartományvezérlők tárolóra, majd a Művelet menüre, és válassza az Írásvédett tartományvezérlői fiók létrehozása előre parancsot.
A dcpromo parancs parancssorból történő futtatásával is létrehozhat írásvédett tartományvezérlői fiókot, a parancsnak azonban meg kell adnia a tartomány nevét is, ahol az írásvédett tartományvezérlőt telepíti. Írja be a parancssorba az alábbi parancsot, és nyomja le az ENTER billentyűt:
dcpromo /CreateDCAccount /ReplicaDomainDNSName:TartományNév
ahol a TartományNév annak a tartománynak a neve, amelyben az írásvédett tartományvezérlői fiókot telepíteni kívánja.
Az írásvédett tartományvezérlői fiók a létrehozását követően nem foglalt tartományvezérlői fiókként megjelenik a Tartományvezérlők tárolóban, mindaddig, amíg egy delegált felhasználó hozzá nem csatolja a kiszolgálót.
Miután a delegált rendszergazda egy statikus IP-címet rendel a kiszolgálóhoz és konfigurálja a DNS-ügyfél beállításait, az Active Directory tartományi szolgáltatások telepítési varázslója futtatásával a meglévő írásvédett tartományvezérlői fiókhoz csatolhatja a telephelyen található kiszolgálót. A kiszolgáló meglévő fiókhoz csatolásához nyisson meg egy parancssort a kiszolgálón, amely a tartományvezérlő lesz, majd írja be az alábbi parancsot, és nyomja le az ENTER billentyűt:
dcpromo /UseExistingAccount:Attach
A delegált rendszergazda értesítést kap arról, hogy az Active Directory tartományi szolgáltatások bináris fájljainak telepítése folyamatban van. Ezután az Active Directory tartományi szolgáltatások telepítési varázslója automatikusan elindítja a telepítés második szakaszát. A delegált rendszergazda hozzáadhatja az /adv paramétert a dcpromo parancshoz, illetve bejelölheti a Speciális telepítési üzemmód használata jelölőnégyzetet a varázsló Az Active Directory tartományi szolgáltatások telepítése - üdvözli a varázsló lapján az alábbi telepítési beállítások megadásához:
-
Az adatok replikálása hálózaton keresztül vagy adathordozóról történjen
-
A telepítési partnerként használandó tartományvezérlő
A varázsló Hálózati hitelesítő adatok lapján a delegált rendszergazdának a telepítéshez használandó alternatív hitelesítő adatok mellett be kell írnia az erdőben lévő bármely olyan tartomány nevét, ahol az írásvédett tartományvezérlő telepítése zajlik. A kiszolgálót tartományfelhasználók csatolhatják egy meglévő tartományvezérlői fiókhoz, ezért a művelethez alternatív hitelesítő adatok szükségesek. Mivel a kiszolgáló még nem csatlakozott a tartományhoz, a delegált rendszergazda eredetileg helyi rendszergazdai fiókkal jelentkezett be a kiszolgálóra. A delegált rendszergazdának ezért most meg kell adnia a tartományi felhasználói fiókot (vagy egy fiókot, amely a delegált felügyeleti csoport tagja), amely az írásvédett tartományvezérlő telepítésére és felügyeletére vonatkozó jogosultságot kapott, amikor a Tartománygazdák csoport tagja létrehozta a fiókot az írásvédett tartományvezérlő számára.
Az Active Directory tartományi szolgáltatások eltávolítása írásvédett tartományvezérlőről
A delegált rendszergazdák a Dcpromo.exe futtatásával távolíthatják el a Active Directory tartományi szolgáltatások összetevőt az írásvédett tartományvezérlőkről. Az Active Directory tartományi szolgáltatások telepítési varázslója adatokat, többek között az új helyi rendszergazdai fiók jelszavát kéri, amely az írásvédett tartományvezérlő eltávolításához és a számítógép önálló kiszolgálóvá tételéhez szükséges. Az Active Directory tartományi szolgáltatások eltávolításának befejezéséhez újra kell indítani a kiszolgálót.
Számítógépnév- és fiókütközések észlelése
Miután a delegált rendszergazda kijelöli annak az írásvédett tartományvezérlői fióknak a nevét, amelyhez a kiszolgálót csatolni kell, az Active Directory tartományi szolgáltatások telepítési varázslója ellenőrzi, hogy a fiókot jelenleg nem használja-e egy aktív tartományvezérlő. Ha az ellenőrzés sikerül, a varázsló automatikusan megkísérli a kiszolgáló csatlakoztatását az adott fiókhoz, és befejezi a telepítést.
Ha a varázsló nem talál megegyező nevű számítógépet, lehetőséget biztosít a delegált rendszergazdának arra, hogy a kiszolgálót átnevezze egy olyan névre, amely nem egyezik meg egy meglévő számítógépfiókkal, illetve más lépésekkel megoldja a névütközést.
Ha a varázsló egyező tartományvezérlői fióknevet talál, a fiók azonban engedélyezve van, a varázsló az online állapot ellenőrzéséhez kapcsolódni próbál a tartományvezérlőhöz. Ezt követően a varázsló az alábbi módon lép tovább:
-
Ha a varázsló megállapítja, hogy már van egy ugyanolyan nevű másik online tartományvezérlő, letiltja az Active Directory tartományi szolgáltatások telepítését. Ebben az esetben azt a kiszolgálót, amelyen az írásvédett tartományvezérlő telepítése történik, át kell nevezni egy már használaton kívüli írásvédett tartományvezérlői fióknak a nevére.
-
Ha a varázsló nem tud meggyőződni arról, hogy már van egy ugyanolyan nevű másik online tartományvezérlő, figyelmezteti a delegált rendszergazdát, hogy a telepítés folytatása az azonos fióknévvel rendelkező tartományvezérlő helytelen működéséhez vezet - ha az valóban online - annak ellenére, hogy a varázsló nem tudott hozzá csatlakozni.
Ez a helyzet akkor fordul elő, ha korábban megkísérelték a kiszolgáló csatolását egy meglévő fiókhoz, a műveletet azonban a telepítés befejezése előtt megszakították. Ebben az esetben az írásvédett tartományvezérlői fiók állapota a telepítés befejezése előtt letiltva értékről engedélyezve értékre változtatható. Ekkor a delegált rendszergazda a figyelmeztetést követően az OK gombra kattintással folytathatja a műveletet.
További tudnivalókat az Írásvédett tartományvezérlői fiók kijelölése című témakör tartalmaz.