Można wykonać instalację przemieszczaną kontrolera tylko do odczytu (RODC), w której różni użytkownicy wykonują instalację w dwóch etapach. Aby ukończyć poszczególne etapy instalacji, można użyć Kreatora instalacji usług domenowych w usłudze Active Directory.
-
Korzystanie z instalacji w trybie zaawansowanym
-
Konfigurowanie dodatkowych opcji kontrolera domeny
-
Delegowanie uprawnień do instalowania kontrolera domeny tylko do odczytu i zarządzania nim
-
Określanie zasad replikacji haseł
-
Wybieranie konta kontrolera domeny tylko do odczytu
Opis instalacji przemieszczanej kontrolera RODC
W pierwszym etapie instalacji jest tworzone konto dla kontrolera RODC w usługach domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services). W drugim etapie instalacji rzeczywisty serwer, który zostanie kontrolerem RODC, jest dołączany do wcześniej utworzonego dla niego konta.
Podczas pierwszego etapu Kreator instalacji usług domenowych w usłudze Active Directory zapisuje wszystkie dane dotyczące kontrolera domeny, które będą przechowywane w rozproszonej bazie danych usługi Active Directory, takie jak nazwa konta kontrolera RODC oraz lokacja, w której zostanie umieszczony. Ten etap musi wykonać członek grupy Administratorzy domeny.
Użytkownik tworzący konto kontrolera RODC może też w tym czasie określić, którzy użytkownicy lub które grupy mogą ukończyć następny etap instalacji. Następny etap instalacji może zostać wykonany w oddziale firmy przez dowolnego użytkownika lub członka grupy z delegowanymi uprawnieniami do ukończenia instalacji podczas tworzenia konta. Ten etap nie wymaga członkostwa w grupach wbudowanych, takich jak grupa Administratorzy domeny. Jeśli użytkownik tworzący konto kontrolera RODC nie określi żadnego delegowania do ukończenia instalacji (i zarządzania kontrolerem RODC), instalację będzie mógł dokończyć tylko członek grupy Administratorzy domeny lub Administratorzy przedsiębiorstwa.
W drugim etapie instalacji kreator instaluje usługi AD DS na serwerze, który stanie się kontrolerem RODC. Ten etap przebiega zwykle w oddziale firmy, gdzie jest wdrażany kontroler RODC. Na tym etapie wszystkie lokalne dane usług AD DS, takie jak baza danych, pliki dziennika itd., są tworzone na kontrolerze RODC. Można zreplikować pliki źródłowe instalacji na kontroler RODC z innego kontrolera domeny przez sieć lub użyć instalacji z nośnika (IFM). W przypadku instalacji z nośnika (IFM) należy użyć polecenia Ntdsutil.exe, aby utworzyć nośnik instalacyjny przeznaczony specjalnie do wykonania instalacji kontrolera RODC. Aby uzyskać więcej informacji na temat instalacji z nośnika, zobacz Instalowanie z nośnika.
Nie należy przyłączać do domeny serwera, który zostanie kontrolerem RODC, przed dołączeniem go do konta kontrolera RODC. Kreator instalacji usług domenowych w usłudze Active Directory jako część instalacji automatycznie wykrywa, czy nazwa serwera pasuje do nazw kont kontrolera RODC, które zostały wcześniej utworzone dla tej domeny. Kiedy kreator odnajdzie pasującą nazwę konta, wyświetli monit o użycie tego konta do ukończenia instalacji kontrolera RODC.
Scenariusz instalacji przemieszczanej
Jeśli organizacja korzysta z instalacji przemieszczanej, można wydajniej wdrożyć kontroler domeny w oddziale firmy niż w przypadku poprzednich wersji systemu Windows Server. Na przykład członek grupy Administratorzy domeny w centralnej lokalizacji może utworzyć konto kontrolera RODC w usługach AD DS. Na tym etapie instalacji zostaną ukończone wszystkie zadania wdrażania, które wymagają poświadczeń grupy Administratorzy domeny, takie jak utworzenie konta komputera dla kontrolera domeny, określenie lokacji dla tego kontrolera czy utworzenie obiektu ustawień NTDS dla serwera.
Kiedy członek grupy Administratorzy domeny tworzy konto kontrolera RODC, może delegować prawo do ukończenia instalacji kontrolera RODC w oddziale firmy do innego użytkownika lub innej grupy zabezpieczeń. Zadanie dołączania serwera do istniejącego konta kontrolera RODC nie musi być wykonywane prze członka grupy Administratorzy domeny. Zadanie to może wykonać każdy użytkownik mający delegowane uprawnienia administratora (lub członek grupy delegowanej), który zostanie określony przez członka grupy Administratorzy domeny w pierwszym etapie instalacji.
Organizacja może zamówić i otrzymać serwer bezpośrednio do oddziału firmy, gdzie można ukończyć instalację kontrolera RODC. W przeszłości kontrolery domeny dla oddziałów firmy musiały być często zamawiane wcześniej przez lokalizację centralną lub przemieszczaną i dostarczane do niej przed przekazaniem ich do oddziału firmy, w którym miały zostać wdrożone. Można również utworzyć nośnik instalacyjny w lokalizacji centralnej, a następnie dostarczyć go do oddziału firmy w celu ukończenia instalacji kontrolera domeny. Instalacja przemieszczana kontrolera RODC usprawnia proces wdrażania kontrolera domeny, eliminując pośrednie kroki instalacji.
Jak wykonywać instalacje przemieszczane
Przed zainstalowaniem kontrolera RODC należy przygotować las za pomocą polecenia adprep /rodcprep. Aby uzyskać więcej informacji na temat przygotowywania lasu za pomocą polecenia adprep, zobacz temat Wybieranie konfiguracji wdrażania usług domenowych w usłudze Active Directory.
Następnie można utworzyć konto kontrolera RODC za pomocą przystawki Użytkownicy i komputery usługi Active Directory. W drzewie konsoli kliknij prawym przyciskiem myszy kontener Kontrolery domeny lub kliknij kontener Kontrolery domeny, kliknij polecenie Akcja, a następnie kliknij polecenie Wstępne tworzenie konta kontrolera domeny tylko do odczytu.
Konto kontrolera RODC można też utworzyć, wykonując polecenie dcpromo w wierszu polecenia, ale polecenie musi określać również nazwę domeny, w której jest instalowany kontroler RODC. W wierszu polecenia wpisz poniższe polecenie, a następnie naciśnij klawisz ENTER:
dcpromo /CreateDCAccount /ReplicaDomainDNSName:nazwa_domeny
Gdzie parametr nazwa_domeny to nazwa domeny, w której ma zostać zainstalowany kontroler RODC.
Utworzone konto kontrolera RODC będzie widoczne w kontenerze Kontrolery domeny jako konto wolnego kontrolera domeny do momentu, gdy delegowany użytkownik dołączy serwer do tego konta.
Po przypisaniu statycznego adresu IP i skonfigurowaniu ustawień klienta DNS dla serwera użytkownik z delegowanymi uprawnieniami administratora może uruchomić Kreatora instalacji usług domenowych w usłudze Active Directory, aby dołączyć serwer w oddziale firmy do istniejącego konta kontrolera RODC. Aby dołączyć serwer do istniejącego konta, należy otworzyć wiersz polecenia na serwerze, który ma zostać kontrolerem domeny, wprowadzić następujące polecenie, a następnie nacisnąć klawisz ENTER:
dcpromo /UseExistingAccount:Attach
Użytkownik z delegowanymi uprawnieniami administratora zostanie powiadomiony o instalowaniu plików binarnych usług AD DS. Następnie Kreator instalacji usług domenowych w usłudze Active Directory automatycznie uruchomi drugi etap instalacji. Użytkownik z delegowanymi uprawnieniami administratora może dodać parametr /adv do polecenia dcpromo lub zaznaczyć pole wyboru Użyj instalacji w trybie zaawansowanym na stronie kreatora Kreator instalacji usług domenowych w usłudze Active Directory - Zapraszamy!, aby określić następujące dodatkowe opcje instalacji:
-
Czy replikować dane przez sieć, czy za pomocą nośnika
-
Który kontroler domeny ma zostać użyty jako partner instalacji
Na stronie kreatora Poświadczenia sieciowe użytkownik z delegowanymi uprawnieniami administratora musi wprowadzić nazwę domeny w lesie, w którym jest instalowany kontroler RODC, oraz poświadczenia alternatywne, niezbędne podczas instalacji. Poświadczenia alternatywne są wymagane w celu dołączenia serwera do istniejącego konta kontrolera domeny, ponieważ dołączenie musi zostać wykonane przez użytkownika domeny. Użytkownik z delegowanymi uprawnieniami administratora został jednak pierwotnie zalogowany do serwera na koncie administratora lokalnego, ponieważ serwer nie został jeszcze przyłączony do domeny. Dlatego użytkownik z delegowanymi uprawnieniami administratora musi teraz określić konto użytkownika domeny (lub konto, które jest członkiem delegowanej grupy administracyjnej), które delegowało prawo do instalowania kontrolera RODC i administrowania nim podczas tworzenia konta dla kontrolera RODC przez członka grupy Administratorzy domeny.
Usuwanie usług AD DS z kontrolera RODC
Użytkownik z delegowanymi uprawnieniami administratora może usunąć usługi AD DS z kontrolera RODC za pomocą polecenia Dcpromo.exe. Kreator instalacji usług domenowych w usłudze Active Directory wymaga informacji, w tym hasła do nowego konta administratora lokalnego, które jest wymagane do usunięcia usług AD DS i ustawienia komputera jako serwera autonomicznego. Aby zakończyć usuwanie usług AD DS, należy ponownie uruchomić serwer.
Wykrywanie konfliktów nazwy komputera i konta
Gdy użytkownik z delegowanymi uprawnieniami administratora wybierze nazwę dla konta kontrolera RODC, do którego zostanie dołączony serwer, Kreator instalacji usług domenowych w usłudze Active Directory weryfikuje, czy konto nie jest obecnie używane przez aktywny kontroler domeny. Jeśli weryfikacja zakończy się powodzeniem, kreator automatycznie spróbuje dołączyć serwer do tego konta i ukończyć instalację.
Jeśli kreator nie odnajdzie konta komputera o pasującej nazwie, umożliwi użytkownikowi z delegowanymi uprawnieniami administratora zmianę nazwy serwera na inną nazwę, która pasuje do istniejącego konta komputera, lub pozwoli wykonać inne kroki w celu usunięcia konfliktu nazw.
Jeśli kreator odnajdzie pasującą nazwę konta kontrolera domeny, ale konto będzie włączone, kreator spróbuje skontaktować się z kontrolerem domeny i zweryfikować, czy ten kontroler domeny znajduje się w trybie online. Następnie kreator postępuje w następujący sposób:
-
Jeśli kreator może sprawdzić, czy inny kontroler domeny o tej samej nazwie jest w trybie online, blokuje ukończenie instalacji usług AD DS. W takim przypadku należy zmienić nazwę serwera, na którym jest wykonywana instalacja kontrolera RODC, i użyć nazwy konta kontrolera RODC, która nie jest używana.
-
Jeśli kreator nie może sprawdzić, czy inny kontroler domeny o tej samej nazwie jest w trybie online, ostrzega użytkownika z delegowanymi uprawnieniami administratora, że w przypadku kontynuowania instalacji kontroler domeny o tej samej nazwie konta nie będzie działać poprawnie, jeśli faktycznie jest w trybie online, mimo że kreator nie mógł się z nim skontaktować.
Ten stan może wystąpić w przypadku wykonania wcześniejszej próby dołączenia serwera do istniejącego konta i przerwania jej przed ukończeniem instalacji. W takim przypadku można przed ukończeniem instalacji zmienić stan konta kontrolera RODC ze stanu wyłączonego na włączony. Jeśli do tego dojdzie, użytkownik z delegowanymi uprawnieniami administratora może kliknąć przycisk OK, aby kontynuować instalację po wyświetleniu ostrzeżenia.
Aby uzyskać więcej informacji, zobacz Wybieranie konta kontrolera domeny tylko do odczytu.