É possível executar uma instalação em etapas de um controlador de domínio somente leitura (RODC), no qual pessoas diferentes concluem a instalação em duas etapas. Você pode usar o Assistente de Instalação dos Serviços de Domínio Active Directory para concluir cada etapa da instalação.

Descrição de uma instalação em etapas do RODC

A primeira etapa da instalação cria uma conta para o RODC nos Serviços de Domínio Active Directory (AD DS). A segunda etapa da instalação anexa o servidor real (que será o RODC) à conta que foi criada anteriormente para ele.

Durante a primeira etapa, o Assistente de Instalação dos Serviços de Domínio Active Directory registra todos os dados do RODC que serão armazenados no banco de dados distribuído do Active Directory, como o nome da conta do controlador de domínio do RODC e o site onde ele será colocado. Esta etapa deve ser executada por um membro do grupo Admins. do Domínio.

O usuário que cria a conta RODC também pode especificar nesse momento quais usuários ou grupos podem concluir a etapa seguinte da instalação. A etapa seguinte da instalação pode ser executada na filial por qualquer usuário ou membro de um grupo ao qual tenha sido delegado o direito de concluir a instalação durante a criação da conta. Esta etapa não requer associação a grupos internos, como o grupo Admins. do Domínio. Se o usuário ao criar a conta RODC não especificar um delegado para concluir a instalação (e administrar o RODC), somente um membro do grupo Admins. do Domínio ou do grupo Administradores Corporativos poderá concluir a instalação.

Durante a segunda etapa da instalação, o assistente instala o AD DS no servidor que se tornará o RODC. Em geral, esta etapa ocorre na filial onde on RODC é implantado. Durante esta etapa, todos os dados do AD DS que residem localmente, como banco de dados, arquivos de log etc, são criados no próprio RODC. Os arquivos de origem da instalação podem ser replicados no RODC de outro controlador de domínio através da rede, ou você pode usar o recurso de instalação da mídia (IFM). Se usar o IFM, use o Ntdsutil.exe para criar a mídia de instalação que é especificamente criada para a instalação de um RODC. Para obter mais informações sobre o uso do IFM, consulte Instalando da mídia.

O servidor que se tornará o RODC não deve fazer parte do domínio antes de tentar anexá-lo à conta RODC. Como parte da instalação, o Assistente de Instalação dos Serviços de Domínio Active Directory detecta automaticamente se o nome do servidor corresponde aos nomes de qualquer conta RODC que tenha sido criada anteriormente no domínio. Quando o assistente encontra um nome de conta correspondente, ele solicita que o usuário use essa conta para concluir a instalação do RODC.

Cenário da execução de uma instalação em etapas

Quando uma organização utiliza a instalação em etapas, é possível implantar um controlador de domínio em uma filial de empresa de modo mais eficaz do que era possível com as versões anteriores do Windows Server. Por exemplo, um membro do grupo Admins. do Domínio em um local central pode criar uma conta RODC no AD DS. Esta etapa da instalação conclui todas as tarefas de implantação que requerem credenciais Admins. do Domínio, como a criação da conta do computador para o controlador do domínio, a especificação do site para ela e a criação de um objeto de Configurações NTDS associado para o servidor.

Quando um membro do grupo Admins. do Domínio cria uma conta RODC, ele pode delegar a outro usuário ou grupo de segurança o direito de concluir a instalação do RODC na filial da empresa. A tarefa de anexar o servidor à conta RODC existente não precisa ser executada por um membro do grupo Admins. do Domínio. Qualquer administrador delegado (ou membro do grupo delegado) que o membro do grupo Admins. do Domínio especificar durante a primeira etapa da instalação poderá executar esta tarefa.

A organização pode pedir e enviar o servidor diretamente para a filial da empresa onde a instalação do RODC pode ser concluída. Anteriormente, os controladores de domínio das filiais em geral tinham que ser pedidos e enviados para um local central ou um site de preparo para serem montados antes de serem enviados para a filial de empresa onde seriam implantados. Como alternativa, a mídia de instalação era criada em um local central e depois enviada para a filial de empresa para que a instalação do controlador de domínio fosse concluída. A instalação em etapas de um RODC agiliza o processo de implantação do controlador de domínio por meio da eliminação destas etapas de instalação intermediárias.

Como executar instalações em etapas

Antes de instalar um RODC, você deve preparar a floresta executando adprep /rodcprep. Para obter mais informações sobre a preparação da floresta executando adprep, consulte Escolhendo uma configuração de implantação dos Serviços de Domínio Active Directory.

Você poderá, então, criar a conta RODC usando o snap-in Usuários e Computadores do Active Directory. Na árvore de console, clique com o botão direito do mouse no contêiner Controladores de Domínio ou clique no contêiner Controladores de Domínio e clique em Ação e em Pré-criar conta do Controlador de Domínio Somente Leitura.

Você também pode criar uma conta RODC executando dcpromo na linha de comando, mas o comando também deve especificar o nome do domínio onde o RODC está sendo instalado. Na linha de comando, digite o seguinte comando e pressione ENTER:

dcpromo /CreateDCAccount /ReplicaDomainDNSName:Nome_do_Domínio

Onde DomainName é o nome do domínio onde você planeja instalar um RODC.

Após a conta RODC ser criada, ela será exibida no contêiner Controladores de Domínio como uma conta de controlador de domínio desocupada até que um usuário delegado anexe o servidor a ela.

Depois que o administrador delegado atribuir um endereço IP estático e definir as configurações do cliente DNS para o servidor, ele poderá executar o Assistente de Instalação dos Serviços de Domínio Active Directory para anexar o servidor na filial à conta RODC existente. Para anexar o servidor à conta existente, abra um prompt de comando no servidor que se tornará o controlador de domínio, digite o comando a seguir e pressione ENTER:

dcpromo /UseExistingAccount:Attach

O administrador delegado é notificado de que os binários do AD DS estão sendo instalados. O Assistente de Instalação dos Serviços de Domínio Active Directory inicia automaticamente a segunda etapa da instalação. O administrador delegado pode adicionar o parâmetro /adv ao comando dcpromo ou marcar a caixa de seleção Usar a instalação em modo avançado na página Assistente de Instalação dos Serviços de Domínio Active Directory no assistente para especificar as seguintes opções de instalação adicionais:

  • Replicar dados na rede ou por meio de mídia

  • Qual controlador de domínio usar como parceiro de instalação

Na página do assistente Credenciais de Rede, o administrador delegado deve inserir o nome de um domínio na floresta onde o RODC está sendo instalado, juntamente com as credenciais alternativas a serem usadas para a instalação. As credenciais alternativas são necessárias para anexar o servidor a uma conta do controlador de domínio existente porque essa ação deve ser executada por um usuário do domínio. Entretanto, o administrador delegado originalmente fez logon no servidor com uma conta de administrador local porque o servidor ainda não estava associado ao domínio. Sendo assim, o administrador delegado agora deve especificar a conta do usuário do domínio (ou uma conta que seja membro do grupo de administração delegado) ao qual foi delegado o direito de instalar e administrar o RODC quando o membro do grupo Admins. do Domínio criou a conta do RODC.

Removendo o AD DS de um RODC

Um administrador delegado pode remover o AD DS do RODC executando o Dcpromo.exe. O Assistente de Instalação dos Serviços de Domínio Active Directory solicita informações, incluindo a senha da nova conta de Administrador local, necessárias para a remoção do AD DS e para tornar o computador um servidor autônomo. Você deve reiniciar o servidor para concluir a remoção do AD DS.

Detectando conflitos de nome de conta do computador

Após o administrador delegado selecionar o nome da conta RODC ao qual o servidor será anexado, o Assistente de Instalação dos Serviços de Domínio Active Directory verificará se a conta não está sendo usada no momento por um controlador de domínio ativo. Se a verificação for bem-sucedida, o assistente tentará anexar automaticamente o servidor a essa conta e concluirá a instalação.

Se o assistente não encontrar uma conta de computador com um nome correspondente, ele fornecerá ao administrador delegado a oportunidade de renomear o servidor usando outro nome que corresponde à uma conta de computador existente ou de seguir outras etapas para resolver o conflito de nome.

Se o assistente encontrar um nome de conta do controlador de domínio correspondente, mas a conta estiver habilitada, ele tentará contatar esse controlador de domínio para verificar se ele está online. O assistente então continuará da seguinte forma:

  • Se o assistente verificar que outro controlador de domínio com o mesmo nome já está online, ele bloqueará a conclusão da instalação do AD DS. Neste caso, o servidor no qual o RODC está sendo instalado deverá ser renomeado com o nome de uma conta RODC que ainda não esteja em uso.

  • Se o assistente não puder verificar se outro controlador de domínio com o mesmo nome já está online, ele avisará ao administrador delegado de que prosseguir com a instalação fará com que o controlador de domínio com o mesmo nome de conta não funcionará adequadamente (caso esteja realmente online) a despeito de não ter sido contatado pelo assistente.

    Esta condição pode ocorrer se uma tentativa de anexar o servidor à conta existente tiver sido feita anteriormente, mas tiver sido cancelada antes da conclusão da instalação. Neste caso, o status da conta RODC pode ser alterado de desabilitado para habilitado antes da conclusão da instalação. Se isso acontecer, o administrador delegado pode clicar em OK para continuar após o aviso.

Para obter mais informações, consulte Selecionando uma conta do Controlador de Domínio Somente Leitura.


Sumário