U kunt een gefaseerde installatie van een alleen-lezen domeincontroller (RODC) uitvoeren waarin verschillende personen de installatie in twee fasen voltooien. U kunt met de wizard Active Directory Domain Services installeren elke fase van de installatie voltooien.
-
Installatie in de geavanceerde modus gebruiken
-
Extra domeincontrolleropties configureren
-
Installatie en beheer van een alleen-lezen domeincontroller overdragen
-
Wachtwoordreplicatiebeleid opgeven
-
Een account voor een alleen-lezen domeincontroller selecteren
Beschrijving van een gefaseerde installatie van de alleen-lezen domeincontroller
In de eerste fase van de installatie wordt een account voor de alleen-lezen domeincontroller gemaakt in Active Directory Domain Services (AD DS). In de tweede fase van de installatie wordt de werkelijke server die de alleen-lezen domeincontroller wordt, gekoppeld aan het account dat er eerder voor is gemaakt.
Tijdens de eerste fase legt de wizard Active Directory Domain Services installeren alle gegevens vast over de alleen-lezen domeincontroller die worden opgeslagen in de gedistribueerde Active Directory-database, zoals de accountnaam van de alleen-lezen domeincontroller en de site waarop deze wordt geplaatst. Deze fase moet worden uitgevoerd door een lid van de groep Domeinadministrators.
De gebruiker die het account voor de alleen-lezen domeincontroller maakt, kan op dat moment ook opgeven welke gebruikers of groepen de volgende fase van de installatie kunnen voltooien. De volgende fase van de installatie kan worden uitgevoerd in het filiaal door een gebruiker of lid van een groep aan wie de rechten zijn overgedragen om de installatie te voltooien toen het account werd gemaakt. Voor deze fase is geen lidmaatschap van ingebouwde groepen vereist zoals de groep Domeinadministrators. Als de gebruiker die het account voor de alleen-lezen domeincontroller maakt, geen gedelegeerde opgeeft om de installatie te voltooien (en de alleen-lezen domeincontroller te beheren), kan alleen een lid van de groep Domeinadministrators of de groep Ondernemingsadministrators de installatie voltooien.
Tijdens de tweede fase van de installatie installeert de wizard AD DS op de server die de alleen-lezen domeincontroller wordt. Deze fase treedt gewoonlijk op in het filiaal waar de alleen-lezen domeincontroller wordt geïmplementeerd. Tijdens deze worden alle AD DS-gegevens die zich lokaal bevinden, zoals de database, logboekbestanden enzovoort, op de alleen-lezen domeincontroller zelf gemaakt. De installatiebronbestanden kunnen worden gerepliceerd naar de alleen-lezen domeincontroller vanuit een andere domeincontroller via het netwerk. U kunt ook installeren vanaf een medium (ook wel IFM of Install From Media genoemd). Als u IFM gebruikt, maakt u met Ntdsutil.exe het installatiemedium dat specifiek wordt gebruikt voor de installatie van een alleen-lezen domeincontroller. Zie Installatie vanaf een medium voor meer informatie over de installatie vanaf een medium.
De server die de alleen-lezen domeincontroller wordt, mag niet zijn toegevoegd aan het domein voordat u probeert deze aan het account voor de alleen-lezen domeincontroller te koppelen. Als onderdeel van de installatie detecteert de wizard Active Directory Domain Services installeren automatisch of de naam van de server overeenkomt met de namen van accounts voor alleen-lezen domeincontrollers die vooraf zijn gemaakt voor het domein. Als de wizard een overeenkomende accountnaam vindt, wordt de gebruiker gevraagd om met dit account de installatie van de alleen-lezen domeincontroller te voltooien.
Scenario voor het uitvoeren van een gefaseerde installatie
Als een organisatie gefaseerde installatie gebruikt, kan de organisatie efficiënter een domeincontroller op een filiaallocatie implementeren dan met eerdere versies van Windows Server mogelijk was. Een lid van de groep Domeinadministrators in een centrale locatie kan een account voor een alleen-lezen domeincontroller in AD DS maken. In deze fase van de installatie worden alle implementatietaken voltooid die lidmaatschap van de groep Domeinadministrators vereisen, zoals het computeraccount voor de domeincontroller maken, de site ervoor opgeven en een bijbehorend object met NTDS-instellingen voor de server maken.
Als een lid van de groep Domeinadministrators het account voor de alleen-lezen domeincontroller maakt, kan hij of zij aan een andere gebruiker of beveiligingsgroep het recht delegeren om de installatie van de alleen-lezen domeincontroller op de filiaallocatie te voltooien. Het koppelen van de server aan het bestaande account voor de alleen-lezen domeincontroller hoeft niet te worden uitgevoerd door een lid van de groep Domeinadministrators. Elke gedelegeerde beheerder (of gedelegeerd groepslid) die het lid van de groep Domeinadministrators opgeeft tijdens de eerste fase van de installatie, kan deze taak uitvoeren.
De organisatie kan de server bestellen en rechtstreeks naar de filiaallocatie laten verzenden waar de installatie van de alleen-lezen domeincontroller kan worden voltooid. In het verleden moesten domeincontrollers voor filialen vaak worden verzonden naar een centrale locatie of voorbereidingslocatie om gereed te worden gemaakt voordat ze weer werden verzonden naar de filiaallocatie waar ze moesten worden geïmplementeerd. Als alternatief werd een installatiemedium gemaakt in een centrale locatie dat vervolgens werd verzonden naar de filiaallocatie om de installatie van de domeincontroller te voltooien. Gefaseerde installatie van een alleen-lezen domeincontroller stroomlijnt het implementatieproces van de domeincontroller doordat deze tussentijdse installatiestappen niet meer nodig zijn.
Gefaseerde installaties uitvoeren
Voordat u een alleen-lezen domeincontroller kunt installeren, moet u het forest voorbereiden door adprep /rodcprep uit te voeren. Zie Een implementatieconfiguratie voor Active Directory Domain Services kiezen voor meer informatie over het voorbereiden van het forest met adprep.
U kunt vervolgens een account voor een alleen-lezen domeincontroller maken aan de hand van de module Active Directory - gebruikers en computers. Klik hiertoe in de consolestructuur op de container Domeincontrollers of klik achtereenvolgens op de container Domeincontrollers, Actie en Maken van account voor alleen-lezen domeincontroller voorbereiden.
U kunt ook een account voor een alleen-lezen domeincontroller maken door dcpromo uit te voeren op de opdrachtregel. In de opdracht moet echter ook de naam van het domein worden opgegeven waar u de alleen-lezen domeincontroller installeert. Typ de volgende opdracht op de opdrachtregel en druk op ENTER:
dcpromo /CreateDCAccount /ReplicaDomainDNSName:domeinnaam
Hier is domeinnaam de naam van het domein waar u een alleen-lezen domeincontroller wilt installeren.
Nadat u het account voor de alleen-lezen domeincontroller hebt gemaakt, wordt dit weergegeven in de container Domeincontrollers als een niet-bezet domeincontrolleraccount totdat een gedelegeerde gebruiker er de server aan koppelt.
Nadat de gedelegeerde beheerder een statisch IP-adres heeft toegewezen en de DNS-clientinstellingen voor de server heeft geconfigureerd, kan hij of zij de wizard Active Directory Domain Services installeren uitvoeren om de server in het filiaal aan het bestaande account voor de alleen-lezen domeincontroller te koppelen. Als u de server aan het bestaande account wilt koppelen, opent u een opdrachtregel op de server die de domeincontroller wordt, typt u de volgende opdracht en drukt u op ENTER:
dcpromo /UseExistingAccount:Attach
De gedelegeerde beheerder wordt op de hoogte gesteld dat de binaire bestanden voor AD DS worden geïnstalleerd. Vervolgens start de wizard Active Directory Domain Services installeren automatisch de tweede fase van de installatie. De gedelegeerde beheerder kan de parameter /adv toevoegen aan de opdracht /adv of het selectievakje Installatie in de geavanceerde modus gebruiken op de welkomstpagina van de wizard Active Directory Domain Services installeren inschakelen om de volgende extra installatieopties op te geven:
-
Of gegevens via het netwerk of vanaf een medium worden gerepliceerd
-
Welke domeincontroller als een installatiepartner moet worden gebruikt
Op de pagina Netwerkreferenties van de wizard moet de gedelegeerde beheerder de naam opgeven van een domein in het forest waar de alleen-lezen domeincontroller wordt geïnstalleerd, samen met alternatieve referenties die voor de installatie worden gebruikt. Alternatieve referenties zijn vereist om de server te koppelen aan een bestaand domeincontrolleraccount omdat dit moet worden uitgevoerd door een domeingebruiker. De gedelegeerde beheerder heeft zich in eerste instantie bij de server aangemeld met een lokaal Administrator-account omdat de server nog niet aan het domein was toegevoegd. Daarom moet de gedelegeerde beheerder nu het domeingebruikersaccount opgeven (of een account dat lid is van de gedelegeerde beheergroep) waaraan het recht werd overgedragen om de alleen-lezen domeincontroller te installeren en beheren toen het lid van de groep Domeinadministrators het account voor de alleen-lezen domeincontroller maakte.
AD DS van een alleen-lezen domeincontroller verwijderen
Een gedelegeerde beheerder kan AD DS van de alleen-lezen domeincontroller verwijderen door Dcpromo.exe uit te voeren. De wizard Active Directory Domain Services installeren vraagt om gegevens, waaronder het wachtwoord voor het nieuwe lokale Administrator-account, die zijn vereist om AD DS te verwijderen en van de computer een zelfstandige server te maken. U moet de server opnieuw opstarten om het verwijderen van AD DS te voltooien.
Conflicten met computernaam en account detecteren
Nadat de gedelegeerde beheerder de naam van het account voor de alleen-lezen domeincontroller waaraan de server moet worden gekoppeld, heeft geselecteerd, controleert de wizard Active Directory Domain Services installeren of het account momenteel niet door een actieve domeincontroller wordt gebruikt. Als de verificatie slaagt, probeert de wizard automatisch de server aan dit account te koppelen en de installatie te voltooien.
Als de wizard geen computeraccount met een overeenkomende naam vindt, krijgt de gedelegeerde beheerder de mogelijkheid om de naam van de server te wijzigen in een naam die overeenkomt met een bestaand computeraccount of om andere stappen te nemen om het naamconflict op te lossen.
Als de wizard een overeenkomende accountnaam van een domeincontroller vindt maar het account is ingeschakeld, probeert de wizard contact op te nemen met die domeincontroller om te controleren of de domeincontroller online is. De wizard gaat dan als volgt door:
-
Als de wizard kan controleren of een andere domeincontroller met dezelfde naam al online is, wordt het voltooien van de AD DS-installatie geblokkeerd. In dit geval moet de naam van de server waarop de installatie van de alleen-lezen domeincontroller wordt uitgevoerd, worden gewijzigd in de naam van een account voor een alleen-lezen domeincontroller dat nog niet in gebruik is.
-
Als de wizard niet kan controleren of een andere domeincontroller met dezelfde naam al online is, wordt de gedelegeerde beheerder gewaarschuwd dat doorgaan met installatie ervoor zorgt dat de domeincontroller die dezelfde accountnaam heeft niet correct werkt (als deze in feite online is) ondanks het feit dat de wizard geen contact met domeincontroller kon opnemen.
Deze toestand kan zich voordoen als eerder een poging is gedaan om de server aan het bestaande account te koppelen maar die poging werd geannuleerd voordat de installatie werd voltooid. In dit geval kan de status van het account voor de alleen-lezen domeincontroller worden gewijzigd van uitgeschakeld in ingeschakeld voordat de installatie is voltooid. Als dit gebeurt, kan de gedelegeerde beheerder op OK klikken om door te gaan na de waarschuwing.
Zie Een account voor een alleen-lezen domeincontroller selecteren voor meer informatie.