Sie können eine bereitgestellte Installation eines schreibgeschützten Domänencontrollers (Read-only Domain Controller, RODC) ausführen, bei der verschiedene Personen die Installation in zwei Phasen ausführen. Die einzelnen Phasen der Installation können mithilfe des Assistenten zum Installieren von Active Directory-Domänendiensten ausgeführt werden.
-
Verwenden der Installation im erweiterten Modus
-
Konfigurieren von zusätzlichen Domänencontrolleroptionen
-
Delegieren der Installation und Verwaltung eines schreibgeschützten Domänencontrollers
-
Angeben der Kennwortreplikationsrichtlinie
-
Auswählen eines RODC-Kontos
Beschreibung einer bereitgestellten RODC-Installation
In der ersten Phase der Installation wird in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) ein Konto für den RODC erstellt. In der zweiten Phase der Installation wird der Server, der als RODC dienen soll, dem Konto zugeordnet, das zuvor für ihn erstellt wurde.
Während der ersten Phase zeichnet der Assistent zum Installieren von Active Directory-Domänendiensten alle Daten für den RODC auf, die in der verteilten Active Directory-Datenbank gespeichert werden, z. B. den Domänencontroller-Kontonamen des RODC und den Standort, an dem dieser platziert wird. Diese Phase muss von einem Mitglied der Gruppe Domänen-Admins ausgeführt werden.
Der Benutzer, der das RODC-Konto erstellt, kann zu diesem Zeitpunkt auch angeben, welche Benutzer oder Gruppen die nächste Phase der Installation ausführen können. Die nächste Phase der Installation kann in der Zweigstelle von jedem Benutzer oder Gruppenmitglied ausgeführt werden, an den bzw. das das Recht zum Ausführen der Installation bei Erstellung des Kontos delegiert wurde. Diese Phase erfordert keine Mitgliedschaft in integrierten Gruppen wie der Gruppe Domänen-Admins. Wenn der Benutzer, der das RODC-Konto erstellt, keine Delegierung für das Abschließen der Installation (und Verwalten des RODC) angibt, kann die Installation nur von einem Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins abgeschlossen werden.
Während der zweiten Phase der Installation installiert der Assistent AD DS auf dem Server, der als RODC dienen soll. Diese Phase wird in der Regel in der Zweigstelle ausgeführt, in der der RODC bereitgestellt wird. Während dieser Phase werden alle lokal gespeicherten AD DS-Daten wie die Datenbank, die Protokolldateien usw. auf dem RODC selbst erstellt. Die Installationsquelldateien können über das Netzwerk von einem anderen Domänencontroller auf den RODC repliziert werden, oder Sie können das Feature Installieren von Medium (Install from media, IFM) verwenden. Verwenden Sie bei einer IFM-Installation Ntdsutil.exe zur Erstellung des Installationsmediums, das speziell für eine RODC-Installation erstellt wird. Weitere Informationen zur Verwendung einer IFM-Installation finden Sie unter Installieren von einem Datenträger.
Der Server, der als RODC verwendet werden soll, darf nicht der Domäne beitreten, bevor Sie ihn dem RODC-Konto zuordnen. Im Rahmen der Installation ermittelt der Assistent zum Installieren von Active Directory-Domänendiensten automatisch, ob der Name des Servers dem Namen eines der RODC-Konten entspricht, die für die Domäne im Voraus erstellt wurden. Wenn der Assistent einen übereinstimmenden Kontonamen findet, fordert er den Benutzer auf, dieses Konto zum Abschließen der RODC-Installation zu verwenden.
Szenario für das Ausführen einer bereitgestellten Installation
Wenn ein Unternehmen eine bereitgestellte Installation ausführt, kann es einen Domänencontroller auf effizientere Weise für eine Zweigstelle bereitstellen als mit früheren Versionen von Windows Server. Beispielsweise kann ein Mitglied der Gruppe Domänen-Admins an einem zentralen Standort ein RODC-Konto in AD DS erstellen. In dieser Phase der Installation werden alle Bereitstellungsaufgaben ausgeführt, die Domänen-Admin-Anmeldeinformationen erfordern, z. B. das Erstellen des Computerkontos für den Domänencontroller, das Angeben des Standorts sowie das Erstellen eines zugehörigen NTDS-Einstellungsobjekts für den Server.
Wenn ein Mitglied der Gruppe Domänen-Admins das RODC-Konto erstellt, kann es das Recht zum Abschließen der RODC-Installation in der Zweigstelle an einen anderen Benutzer oder eine Sicherheitsgruppe delegieren. Für die Zuordnung des Servers zum bestehenden RODC-Konto muss man kein Mitglied der Gruppe Domänen-Admins sein. Jeder delegierte Administrator (oder ein delegiertes Gruppenmitglied), der vom Mitglied der Gruppe Domänen-Admins in der ersten Phase der Installation angegeben wird, kann diese Aufgabe ausführen.
Das Unternehmen kann den Server bestellen und direkt an die Zweigstelle liefern lassen, wo die RODC-Installation ausgeführt werden kann. In der Vergangenheit mussten Domänencontroller für Zweigstellen häufig zuerst an einen zentralen Standort oder Bereitstellungsstandort geliefert werden, wo sie vor der Auslieferung an die Zweigstelle, in der sie bereitgestellt werden sollten, eingerichtet werden mussten. Alternativ dazu wurde an einem zentralen Standort ein Installationsmedium erstellt und dann an die Zweigstelle geliefert, um die Domänencontrollerinstallation auszuführen. Mithilfe der bereitgestellten Installation eines RODC wird der Bereitstellungsvorgang für Domänencontroller dadurch optimiert, dass diese Installationszwischenschritte entfallen.
Ausführen von bereitgestellten Installationen
Bevor Sie einen RODC installieren können, müssen Sie Ihre Gesamtstruktur vorbereiten, indem Sie den Befehl adprep /rodcprep ausführen. Weitere Informationen zur Vorbereitung der Gesamtstruktur durch Ausführung von adprep finden Sie unter Auswählen einer Active Directory-Domänendienste-Bereitstellungskonfiguration.
Anschließend können Sie das RODC-Konto mithilfe des Snap-Ins Active Directory-Benutzer und -Computer erstellen. Klicken Sie in der Konsolenstruktur entweder mit der rechten Maustaste auf den Container Domänencontroller. Oder klicken Sie auf den Container Domänencontroller, und klicken Sie dann auf Aktion. Klicken Sie anschließend auf Konto für schreibgeschützten Domänencontroller vorbereiten.
Sie können auch ein RODC-Konto erstellen, indem Sie dcpromo über die Befehlszeile ausführen. Mit dem Befehl muss jedoch auch der Name der Domäne angegeben werden, in der Sie den RODC installieren. Geben Sie den folgenden Befehl in die Befehlszeile ein, und drücken Sie dann die EINGABETASTE:
dcpromo /CreateDCAccount /ReplicaDomainDNSName:Domänenname
Hierbei ist Domänenname der Name der Domäne, in der Sie einen RODC installieren möchten.
Nachdem Sie das RODC-Konto erstellt haben, wird es im Container Domänencontroller als nicht belegtes Domänencontrollerkonto angezeigt, bis ein delegierter Benutzer ihm den Server zuordnet.
Nachdem der delegierte Administrator dem Server eine statische IP-Adresse zugewiesen und die DNS-Clienteinstellungen für den Server konfiguriert hat, kann er den Assistenten zum Installieren von Active Directory-Domänendiensten ausführen, um den Server in der Zweigstelle dem bestehenden RODC-Konto zuzuordnen. Um den Server dem Konto zuzuordnen, öffnen Sie eine Eingabeaufforderung auf dem Server, der als Domänencontroller verwendet werden soll, geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
dcpromo /UseExistingAccount:Attach
Der delegierte Administrator wird darüber benachrichtigt, dass die AD DS-Binärdateien installiert werden. Anschließend beginnt der Assistent zum Installieren von Active Directory-Domänendiensten automatisch die zweite Phase der Installation. Der delegierte Administrator kann den Parameter /adv dem Befehl dcpromo hinzufügen oder das Kontrollkästchen Installation im erweiterten Modus verwenden auf der Seite Willkommen im Assistenten aktivieren, um die folgenden zusätzlichen Installationsoptionen anzugeben:
-
Ob Daten über das Netzwerk oder von einem Medium repliziert werden sollen
-
Welcher Domänencontroller als Installationspartner verwendet werden soll
Auf der Seite Sicherheitsinformationen für das Netzwerk im Assistenten muss der delegierte Administrator den Namen der Domäne in der Gesamtstruktur, in der der RODC installiert wird, sowie alternative Anmeldeinformationen für die Installation angeben. Alternative Anmeldeinformationen werden benötigt, um den Server einem bestehenden Domänencontrollerkonto zuzuordnen, da diese Aufgabe von einem Domänenbenutzer ausgeführt werden muss. Der delegierte Administrator hat sich jedoch ursprünglich mit einem lokalen Administratorkonto beim Server angemeldet, da der Server noch nicht der Domäne hinzugefügt war. Daher muss der delegierte Administrator nun das Domänenbenutzerkonto (oder ein Konto, das Mitglied der delegierten Administratorgruppe ist) angeben, an das das Recht zur Installation und Verwaltung des RODC delegiert wurde, als das Mitglied der Gruppe Domänen-Admins das Konto für den RODC erstellt hat.
Entfernen von AD DS von einem RODC
Ein delegierter Administrator kann AD DS durch Ausführen der Datei von Dcpromo.exe vom RODC entfernen. Der Assistent zum Installieren von Active Directory-Domänendiensten benötigt hierbei Informationen, einschließlich des Kennworts für das neue lokale Administratorkonto, um AD DS zu entfernen und den Computer zu einem eigenständigen Server zu machen. Sie müssen den Server neu starten, um die Entfernung von AD DS abzuschließen.
Ermittlung von Computernamen- und Kontokonflikten
Nachdem der delegierte Administrator den Namen des RODC-Kontos ausgewählt hat, um diesem den Server zuzuordnen, überprüft der Assistent zum Installieren von Active Directory-Domänendiensten, ob das Konto bereits von einem anderen aktiven Domänencontroller verwendet wird. Wenn dies nicht der Fall ist, stellt der Assistent automatisch eine Verbindung mit diesem Konto her und führt die Installation aus.
Wenn der Assistent kein Computerkonto mit einem übereinstimmenden Namen findet, erhält der delegierte Administrator die Möglichkeit zur Umbenennung des Servers mit einem Namen, der einem bestehenden Computerkonto entspricht, bzw. zur Behebung des Namenskonflikts.
Wenn der Assistent einen übereinstimmenden Domänencontroller-Kontonamen findet, aber das Konto aktiviert ist, versucht der Assistent, diesen Domänencontroller zu kontaktieren, um sicherzustellen, dass der Domänencontroller online ist. Anschließend setzt der Assistent den Vorgang wie folgt fort:
-
Wenn der Assistent feststellt, dass bereits ein anderer Domänencontroller mit demselben Namen online ist, blockiert er das Ausführen der AD DS-Installation. In diesem Fall muss der Server, auf dem die RODC-Installation ausgeführt wird, mit dem Namen eines RODC-Kontos umbenannt werden, das noch nicht verwendet wird.
-
Wenn der Assistent nicht ermitteln kann, ob bereits ein anderer Domänencontroller mit demselben Namen online ist, warnt er den delegierten Administrator, dass durch Fortsetzung der Installation die Funktion des Domänencontrollers mit demselben Kontonamen beeinträchtigt wird, falls dieser doch online sein sollte, obwohl er vom Assistenten nicht kontaktiert werden konnte.
Dies kann vorkommen, wenn bereits zuvor versucht wurde, den Server dem bestehenden Konto zuzuordnen, der Vorgang jedoch vor Abschluss der Installation abgebrochen wurde. In diesem Fall wird der Status des RODC-Kontos möglicherweise von deaktiviert zu aktiviert geändert, bevor die Installation abgeschlossen ist. Wenn dies geschieht, kann der delegierte Administrator auf OK klicken, um den Vorgang nach der Warnung fortzusetzen.
Weitere Informationen finden Sie unter Auswählen eines RODC-Kontos.