É possível efectuar uma instalação faseada de um controlador de domínio só de leitura (RODC), na qual diferentes pessoas concluem a instalação em duas fases. É possível utilizar o Assistente de Instalação dos Serviços de Domínio do Active Directory para concluir cada fase da instalação.

Descrição de uma instalação faseada de um RODC

A primeira fase da instalação cria uma conta para o RODC nos Serviços de Domínio do Active Directory (AD DS). A segunda fase da instalação liga o servidor que será o RODC à conta anteriormente criada para o mesmo.

Durante a primeira fase, o Assistente de Instalação dos Serviços de Domínio do Active Directory regista todos os dados sobre o RODC que serão armazenados na base de dados distribuída do Active Directory, tais como o nome de conta do controlador de domínio do RODC e o local onde será colocado. Esta fase tem de ser efectuado por um membro do grupo Admins do Domínio.

O utilizador que criar a conta RODC também poderá especificar nessa altura quais os utilizadores ou grupos que podem concluir a fase seguinte da instalação. A fase seguinte da instalação pode ser efectuada na sucursal por qualquer utilizador ou membro de um grupo a quem tenha sido delegado o direito de concluir a instalação aquando da criação da conta. Esta fase não requer associação a grupos incorporados, tal como o grupo Admins do Domínio. Se o utilizador que criar a conta RODC não especificar nenhum delegado para concluir a instalação (e administrar o RODC), apenas um membro do grupo Admins do Domínio ou do grupo Admins da Empresa poderá concluir a instalação.

Durante a segunda fase da instalação, o assistente instala o AD DS no servidor que será o RODC. Normalmente, esta fase ocorre na sucursal na qual o RODC é implementado. Durante esta fase, todos os dados do AD DS que residam localmente (por exemplo, base de dados, ficheiros de registo, etc.) são criados no próprio RODC. Os ficheiros de origem de instalação podem ser replicados para o RODC a partir de outro controlador de domínio através da rede, ou poderá ser utilizada a funcionalidade de instalação a partir de um suporte de dados (IFM). Ao utilizar IFM, utilize Ntdsutil.exe para criar o suporte de dados de instalação especificamente criado para instalação de um RODC. Para mais informações sobre como utilizar IFM, consulte Instalar a Partir de Um Suporte de Dados.

O servidor que será o RODC não poderá ser associado ao domínio antes de se tentar ligar o servidor à conta RODC. Como parte da instalação, o Assistente de Instalação dos Serviços de Domínio do Active Directory detecta automaticamente se o nome do servidor corresponde aos nomes de eventuais contas RODC criadas previamente para o domínio. Quando o assistente localiza um nome de conta correspondente, o mesmo pergunta ao utilizador se pretende utilizar a conta para concluir a instalação do RODC.

Cenário para efectuar uma instalação faseada

Quando uma organização utiliza uma instalação faseada, a mesma pode implementar um controlador de domínio numa localização de sucursal de forma mais eficaz do que seria possível com versões anteriores do Windows Server. Por exemplo, um membro do grupo Admins do Domínio numa localização central pode criar uma conta RODC no AD DS. Esta fase da instalação conclui todas as tarefas de implementação que requerem credenciais de Administrador do Domínio, tais como criar a conta de computador para o controlador de domínio, especificar o local para o mesmo e criar um objecto NTDS Settings associado para o servidor.

Quando um membro do grupo Admins do Domínio cria a conta RODC, esse membro pode delegar a outro utilizador ou grupo de segurança o direito de concluir a instalação do RODC na localização da sucursal. A tarefa de ligar o servidor à conta RODC existente não tem de ser efectuada por um membro do grupo Admins do Domínio. Qualquer administrador delegado (ou membro de grupo delegado) especificado pelo membro do grupo Admins do Domínio durante a primeira fase da instalação pode efectuar esta tarefa.

A organização pode encomendar e enviar directamente o servidor para a localização da sucursal onde a instalação do RODC pode ser concluída. No passado, era frequentemente necessário que controladores de domínio para sucursais fossem encomendados e enviados para uma localização central ou para um local de preparação para serem construídos antes de serem enviados para a localização de sucursal onde deviam ser implementados. Como alternativa, suportes de dados de instalação eram criados numa localização central e depois enviados para a localização de sucursal para concluir a instalação do controlador de domínio. A instalação faseada de um RODC simplifica o processo de implementação do controlador de domínio, pois elimina estes passos de instalação intermédios.

Como efectuar instalações faseadas

Antes de instalar um RODC, é necessário preparar a floresta com a execução de adprep /rodcprep. Para mais informações sobre a preparação da floresta com a execução de adprep, consulte Escolher Uma Configuração de Implementação de Serviços de Domínio do Active Directory.

Em seguida, poderá criar a conta RODC utilizando o snap-in Utilizadores e Computadores do Active Directory. Na árvore da consola, clique com o botão direito do rato no contentor Controladores de Domínio, ou clique no contentor Controladores de Domínio e clique em Acção, e clique depois em Criar previamente uma conta de Controlador de Domínio Só de Leitura.

Também é possível criar uma conta RODC executando dcpromo na linha de comandos; contudo, o comando também terá de especificar o nome do domínio no qual o RODC está a ser instalado. Na linha de comandos, escreva o seguinte comando e prima a tecla ENTER:

dcpromo /CreateDCAccount /ReplicaDomainDNSName:DomainName

Sendo que DomainName é o nome do domínio no qual pretende instalar um RODC.

Depois de criada a conta RODC, esta aparece no contentor Controladores de Domínio como conta de controlador de domínio não ocupada, até que um utilizador delegado ligue o servidor à mesma.

Depois de o administrador delegado atribuir um endereço IP estático e configurar as definições de cliente DNS para o servidor, esse administrador poderá executar o Assistente de Instalação dos Serviços de Domínio do Active Directory para ligar o servidor na sucursal à conta RODC existente. Para ligar o servidor à conta existente, abra uma linha de comandos no servidor que será o controlador de domínio, escreva o seguinte comando e prima a tecla ENTER:

dcpromo /UseExistingAccount:Attach

O administrador delegado é notificado de que os binários do AD DS estão a ser instalados. Em seguida, o Assistente de Instalação dos Serviços de Domínio do Active Directory inicia automaticamente a segunda fase da instalação. O administrador delegado pode adicionar o parâmetro /adv ao comando dcpromo ou seleccionar a caixa de verificação Utilizar instalação no modo avançado na página Bem-vindo ao Assistente de Instalação dos Serviços de Domínio do Active Directory do assistente para especificar as seguintes opções de instalação adicionais:

  • Replicar dados através da rede ou a partir de um suporte de dados

  • Controlador de domínio a utilizar como parceiro de instalação

Na página Credenciais de Rede do assistente, o administrador delegado tem de introduzir o nome de eventuais domínios na floresta na qual o RODC está a ser instalado, bem como credenciais alternativas a utilizar para a instalação. São necessárias credenciais alternativas para ligar o servidor a uma conta de controlador de domínio existente, pois tal tem de ser efectuado por um utilizador de domínio. Contudo, o administrador delegado iniciou sessão originalmente no servidor com a conta de administrador local, porque esse servidor ainda não estava associado ao domínio. Por conseguinte, o administrador delegado tem agora de especificar a conta de utilizador de domínio (ou uma conta membro do grupo de administração delegada) à qual foi delegado o direito de instalar e administrar o RODC aquando da criação da conta para o RODC por parte do membro do grupo Admins do Domínio.

Remover o AD DS de um RODC

Um administrador delegado pode remover o AD DS do RODC executando Dcpromo.exe. O Assistente de Instalação dos Serviços de Domínio do Active Directory solicita informações (incluindo a palavra-passe da nova conta de Administrador local) necessárias para remover o AD DS e tornar o computador num servidor autónomo. É necessário reiniciar o servidor para concluir a remoção do AD DS.

Detectar conflitos de nome de computador e de conta

Depois de o administrador delegado seleccionar o nome da conta RODC à qual ligar o servidor, o Assistente de Instalação dos Serviços de Domínio do Active Directory verifica se a conta não está a ser utilizada por um controlador de domínio activo. Se a verificação tiver êxito, o assistente tenta ligar automaticamente o servidor a essa conta e concluir a instalação.

Se o assistente não localizar uma conta de computador com um nome correspondente, o mesmo fornece ao administrador delegado a possibilidade de mudar o nome do servidor para outro nome que não corresponda a uma conta de computador existente ou de tomar outras medidas para remediar o conflito de nome.

Se o assistente localizar um nome de conta de controlador de domínio correspondente, mas a conta estiver activada, o assistente tenta contactar o controlador de domínio para verificar se o controlador de domínio está online. O assistente procede depois da seguinte forma:

  • Se o assistente conseguir verificar que outro controlador de domínio com o mesmo nome já está online, o assistente bloqueia a conclusão da instalação do AD DS. Neste caso, o nome do servidor no qual a instalação do RODC está a ser efectuado tem de ser alterado para o nome de uma conta RODC que ainda não esteja em utilização.

  • Se o assistente não conseguir verificar se outro controlador de domínio com o mesmo nome já está online, o assistente avisa o administrador delegado de que continuar com a instalação irá fazer com que o controlador de domínio com o mesmo nome de conta não funcione correctamente (se estiver, de facto, online), embora não tenha podido ser contactado pelo assistente.

    Esta condição pode ocorrer caso se tenha tentado anteriormente ligar o servidor à conta existente, mas a tentativa tenha sido cancelada antes da conclusão da instalação. Neste caso, o estado da conta RODC poderá ser alterado de desactivado para activado antes de a instalação ser concluída. Se tal acontecer, o administrador delegado poderá clicar em OK para continuar depois do aviso.

Para mais informações, consulte Seleccionar Uma Conta de Controlador de Domínio Só de Leitura.


Sumário