Je možné provést dvoufázovou instalaci řadiče domény jen pro čtení, při které různí uživatelé provedou instalaci ve dvou fázích. K provedení obou fází instalace je možné použít Průvodce instalací služby Active Directory Domain Services.
-
Použití rozšířeného režimu instalace
-
Konfigurace dalších možností řadiče domény
-
Delegování instalace a správy řadiče domény jen pro čtení
-
Určení zásad replikace hesel
-
Výběr účtu řadiče domény jen pro čtení
Popis dvoufázové instalace řadiče domény jen pro čtení
V první fázi instalace je vytvořen účet řadiče domény jen pro čtení ve službě AD DS (Active Directory Domain Services). Ve druhé fázi instalace dojde k připojení skutečného serveru, který se stane řadičem domény jen pro čtení, k účtu, který pro něj byl předtím vytvořen.
Během první fáze vytvoří Průvodce instalací služby Active Directory Domain Services záznam všech údajů řadiče domény jen pro čtení, které budou uloženy v distribuované databázi služby Active Directory, například názvu účtu řadiče domény jen pro čtení a lokality, kde bude umístěn. Tuto fázi musí provést člen skupiny Domain Admins.
Uživatel, který vytváří účet řadiče domény jen pro čtení, může také zadat, kteří uživatelé nebo skupiny mohou dokončit další fázi instalace a kdy tuto činnost mohou provést. Další fázi instalace je možné uskutečnit v pobočce libovolným uživatelem nebo skupinou, kterým byla delegována práva na dokončení instalace při vytvoření účtu. V této fázi není nutné členství v žádné z integrovaných skupin, jako je skupina Domain Admins. Jestliže uživatel vytvářející účet řadiče domény jen pro čtení nezadá žádného delegovaného uživatele pro dokončení instalace (a správu řadiče domény jen pro čtení), může instalaci dokončit pouze člen skupiny Domain Admins nebo Enterprise Admins.
Ve druhé fázi instalace nainstaluje průvodce službu AD DS na server, který se stane řadičem domény jen pro čtení. Tato fáze obvykle probíhá v pobočce, kde bude řadič domény jen pro čtení nasazen. Během této fáze jsou veškeré místně uložené údaje služby AD DS, například databáze, soubory protokolů a podobně, vytvořeny na samotném řadiči domény jen pro čtení. Zdrojové instalační soubory lze replikovat na řadič domény jen pro čtení z jiného řadiče domény v síti, nebo můžete použít funkci instalace z média. Pokud použijete instalaci z média, vytvořte pomocí nástroje Ntdsutil.exe instalační médium určené výhradně pro instalaci řadiče domény jen pro čtení. Další informace o používání instalace z média naleznete v tématu Instalace z média.
Server, který se stane řadičem domény jen pro čtení, nesmí být v okamžiku, kdy se jej pokusíte připojit k účtu řadiče domény jen pro čtení, připojen do domény. Během instalace ověří Průvodce instalací služby Active Directory Domain Services automaticky, zda název serveru odpovídá názvu některého z účtů řadiče domény jen pro čtení, které byly předem v doméně vytvořeny. Jakmile průvodce najde odpovídající název účtu, zobrazí se uživateli výzva, aby tento účet použil k dokončení instalace řadiče domény jen pro čtení.
Scénář dvoufázové instalace
Pokud je v organizaci používána dvoufázová instalace, je možné nasadit řadič domény v pobočce efektivněji, než to bylo možné v předchozích verzích systému Windows Server. Například člen skupiny Domain Admins v centrálním umístění může vytvořit ve službě AD DS účet řadiče domény jen pro čtení. V této fázi instalace jsou provedeny všechny úkoly nasazení vyžadující pověření skupiny Domain Admins, například vytvoření účtu počítače pro řadič domény, zadání příslušné lokality a vytvoření přidruženého objektu NTDS Settings serveru.
Jakmile některý člen skupiny Domain Admins vytvoří účet řadiče domény jen pro čtení, může delegovat jinému uživateli nebo skupině zabezpečení právo dokončit instalaci řadiče domény jen pro čtení na pobočce. Připojení serveru k existujícímu účtu řadiče domény jen pro čtení nemusí provádět člen skupiny Domain Admins. Tuto činnost může provést libovolný delegovaný správce (nebo člen delegované skupiny), kterého člen skupiny Domain Admins určil v první fázi instalace.
Organizace může objednat a zaslat server přímo na pobočku, kde bude instalace řadiče domény jen pro čtení dokončena. V minulosti musely být často řadiče domény pro pobočky objednávány a zasílány do centrálního umístění nebo specializované lokality ke kompletaci, odkud pak teprve byly zasílány do poboček, ve kterých měly být nasazeny. Alternativu představovalo vytvoření instalačního média v centrálním umístění a jeho následné zaslání do pobočky k dokončení instalace řadiče domény. Dvoufázová instalace řadiče domény jen pro čtení zjednodušuje proces nasazení řadiče domény vypuštěním těchto kroků instalace, které tvořily pouze mezistupeň.
Postup při dvoufázové instalaci
Před instalací řadiče domény jen pro čtení je třeba připravit doménovou strukturu spuštěním příkazu adprep /rodcprep. Další informace o přípravě doménové struktury spuštěním příkazu adprep naleznete v tématu Volba konfigurace nasazení služby AD DS (Active Directory Domain Services).
Pak je možné vytvořit účet řadiče domény jen pro čtení pomocí modulu snap-in Uživatelé a počítače služby Active Directory. Klikněte ve stromu konzoly pravým tlačítkem myši na kontejner Řadiče domény nebo klikněte na kontejner Řadiče domény a klikněte na položku Akce a potom na příkaz Předem vytvořit účet řadiče domény jen pro čtení.
Účet řadiče domény jen pro čtení je možné vytvořit také spuštěním příkazu dcpromo z příkazového řádku, v příkazu je však také nutné zadat název domény, kam řadič domény jen pro čtení instalujete. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
dcpromo /CreateDCAccount /ReplicaDomainDNSName:Název_domény
Kde Název_domény představuje název domény, do které plánujete řadič domény jen pro čtení nainstalovat.
Po vytvoření účtu řadiče domény jen pro čtení se zobrazí v kontejneru Řadiče domény jako neobsazený účet řadiče domény, dokud k němu některý delegovaný uživatel nepřipojí server.
Jakmile delegovaný správce přiřadí serveru statickou IP adresu a nakonfiguruje nastavení klienta DNS, může spuštěním Průvodce instalací služby Active Directory Domain Services připojit server v pobočce k existujícímu účtu řadiče domény jen pro čtení. Chcete-li připojit server k existujícímu účtu, spusťte na serveru, který se stane řadičem domény, příkazový řádek a zadejte následující příkaz. Potom stiskněte klávesu ENTER:
dcpromo /UseExistingAccount:Attach
Delegovaný správce bude upozorněn, že probíhá instalace binárních souborů služby AD DS. Potom Průvodce instalací služby Active Directory Domain Services automaticky spustí druhou fázi instalace. Delegovaný správce může přidat k příkazu dcpromo parametr /adv nebo zaškrtnutím políčka Použít rozšířený režim instalace na stránce průvodce Vítá vás Průvodce instalací služby Active Directory Domain Services určit následující dodatečné možnosti instalace:
-
zda budou údaje replikovány prostřednictvím sítě nebo z média,
-
který řadič domény bude použit jako partner instalace.
Na stránce průvodce Síťová pověření musí delegovaný správce zadat název libovolné domény v doménové struktuře, kde je řadič domény jen pro čtení instalován, spolu s alternativními pověřeními, která budou použita při instalaci. Alternativní pověření jsou nutná pro připojení serveru k existujícímu účtu řadiče domény, protože tuto činnost musí provést uživatel domény. Delegovaný správce se však původně přihlásil k serveru pomocí účtu místního správce, protože server nebyl dosud připojen do domény. Z tohoto důvodu je nutné, aby delegovaný správce nyní zadal účet uživatele domény (nebo účet, který je členem delegované skupiny správy), kterým bylo delegováno právo instalovat a spravovat řadič domény jen pro čtení při vytvoření účtu řadiče domény jen pro čtení členem skupiny Domain Admins.
Odebrání služby AD DS z řadiče domény jen pro čtení
Delegovaný správce může službu AD DS odebrat z řadiče domény jen pro čtení spuštěním programu Dcpromo.exe. Průvodce instalací služby Active Directory Domain Services si vyžádá informace, včetně hesla pro nový účet místního správce, potřebné k odebrání služby AD DS a změně počítače na samostatný server. Odebrání služby AD DS je nutné dokončit restartováním serveru.
Detekování názvu počítače a konfliktů účtů
Jakmile delegovaný správce vybere název účtu řadiče domény jen pro čtení, ke kterému má být server připojen, ověří Průvodce instalací služby Active Directory Domain Services, zda není účet aktuálně používán aktivním řadičem domény. Pokud proběhne ověření úspěšně, pokusí se průvodce automaticky připojit server k danému účtu a dokončit instalaci.
Jestliže průvodce nenajde účet počítače s odpovídajícím názvem, poskytne delegovanému správci možnost přejmenovat server na název, který bude odpovídat existujícímu účtu počítače nebo provést další kroky k vyřešení konfliktu názvů.
Najde-li průvodce odpovídající název účtu řadiče domény, ale účet je povolen, pokusí se průvodce příslušný řadič domény kontaktovat a ověřit, zda je online. Potom průvodce postupuje následovně:
-
Pokud průvodce zjistí, že jiný řadič domény se stejným názvem je již online, zablokuje dokončení instalace služby AD DS. V tom případě je nutné přejmenovat server, na kterém probíhá instalace řadiče domény jen pro čtení, na název účtu řadiče domény jen pro čtení, který se dosud nepoužívá.
-
Jestliže se průvodci nepodaří ověřit, zda je jiný řadič domény se stejným názvem již online, zobrazí se delegovanému správci varování, že při pokračování v instalaci může dojít k nesprávné funkci řadiče domény, který má stejný název účtu - pokud je skutečně online - bez ohledu na skutečnost, že se průvodci nepodařilo s tímto řadičem spojit.
Tato situace může nastat, pokud byl v minulosti proveden pokus o připojení serveru k existujícímu účtu, ale tato činnost byla zrušena před dokončením instalace. V takovém případě může být stav účtu řadiče domény jen pro čtení změněn ze zakázaného na povolený před dokončením instalace. Dojde-li k této situaci, může delegovaný správce kliknutím na tlačítko OK pokračovat i po zobrazení varování.
Další informace naleznete v tématu Výběr účtu řadiče domény jen pro čtení.