Du kan utföra stegvis installation av en skrivskyddad domänkontrollant (RODC), vilket innebär att olika personer slutför installationen i två steg. Du kan använda installationsguiden för Active Directory Domain Services för att slutföra de olika stegen i installationen.
-
Installation i avancerat läge
-
Konfigurera ytterligare alternativ för domänkontrollanter
-
Delegera installation och administration av en skrivskyddad domänkontrollant (RODC)
-
Ange en princip för lösenordsreplikering
-
Välja ett konto för en skrivskyddad domänkontrollant (RODC)
Beskrivning av stegvis installation av en RODC
Under det första steget i installationen skapas ett konto för den skrivskyddade domänkontrollanten i Active Directory Domain Services (AD DS). Under det andra steget i installationen kopplas den faktiska servern som ska bli en skrivskyddad domänkontrollant till det konto som har skapats för den.
Under det första steget registreras alla data om den skrivskyddade domänkontrollanten som ska lagras i den distribuerade Active Directory-databasen, t.ex. namnet på kontot för domänkontrollanten och platsen där den ska placeras, av installationsguiden för Active Directory Domain Services. Det här steget måste utföras av en medlem av gruppen för domänadministratörer.
Den användare som skapar RODC-kontot kan välja att samtidigt ange vilka användare eller grupper som ska kunna slutföra nästa steg av installationen. Nästa steg av installationen kan utföras på filialkontoret av en användare eller medlem i en grupp som delegerades behörighet för att slutföra installationen när kontot skapades. Den användare som utför det här steget behöver inte vara medlem i någon inbyggd grupp (t.ex. gruppen för domänadministratörer). Om användaren som skapar RODC-kontot inte delegerar slutförandet av installationen (och administrationen av domänkontrollanten) till någon måste den som vill slutföra installationen vara medlem av gruppen för domänadministratörer eller gruppen för företagsadministratörer.
Under det andra steget av installationen installeras AD DS på den server som ska bli skrivskyddad domänkontrollant. Det här steget utförs vanligtvis på det filialkontor där den skrivskyddade domänkontrollanten distribueras. Under det här steget skapas alla AD DS-data som finns lokalt, t.ex. databasen och loggfilerna, på själva domänkontrollanten. Installationskällfilerna kan replikeras till den skrivskyddade domänkontrollanten från en annan domänkontrollant via nätverket. Du kan också använda funktionen för installation från media (IFM). Om du använder IFM använder du Ntdsutil.exe för att skapa det installationsmedium som skapas specifikt för en RODC-installation. Mer information om hur du använder IFM finns under Installera från media.
Den server som ska bli skrivskyddad domänkontrollant får inte kopplas till domänen innan du försöker koppla den till RODC-kontot. Under installationen kontrollerar installationsguiden för Active Directory Domain Services automatiskt om serverns namn matchar namnet på något av de RODC-konton som har skapats tidigare för domänen. När ett matchande kontonamn hittas uppmanas användaren att använda kontot för att slutföra RODC-installationen.
Scenario för att utföra stegvis installation
Om stegvis installation används i en organisation kan en domänkontrollant för ett filialkontor distribueras på ett mer effektivt sätt än med tidigare versioner av Windows Server. En medlem av gruppen för domänadministratörer kan t.ex. skapa ett RODC-konto i AD DS från en central plats. Under det här steget av installationen slutförs alla distributionsåtgärder som endast domänadministratörer kan utföra, t.ex. att skapa ett datorkonto för domänkontrollanten, ange en plats för den och skapa ett kopplat NTDS Settings-objekt för servern.
När en medlem av gruppen för domänadministratörer skapar RODC-kontot kan han eller hon delegera den behörighet som krävs för att slutföra RODC-installationen på filialkontoret till en annan användare eller säkerhetsgrupp. Kopplingen av servern till det befintliga RODC-kontot kan utföras av en användare som inte är medlem av gruppen för domänadministratörer. Alla delegerade administratörer (eller delegerade gruppmedlemmar) som medlemmen i gruppen för domänadministratörer anger under det första steget av installationen kan utföra den här åtgärden.
Organisationen kan beställa och leverera servern direkt till det filialkontor där RODC-installation sedan kan slutföras. Tidigare var det ofta nödvändigt att först beställa domänkontrollanter för leverans till en central plats eller en tillfällig plats för installation innan de kunde levereras vidare till det filialkontor där de skulle distribueras. Ett annat alternativ var att installationsmedia skapades på en central plats och sedan levererades till filialkontoret där domänkontrollantinstallationen slutfördes. Tack vare funktionen för stegvis installation av skrivskyddade domänkontrollanter kan dessa steg elimineras så att distributionsprocessen förenklas.
Så här utför du en stegvis installation
Innan du installerar en skrivskyddad domänkontrollant måste du förbereda skogen genom att köra kommandot adprep /rodcprep. Mer information om hur du förbereder en skog genom att köra adprep finns i Välja en distributionskonfiguration för Active Directory Domain Services.
Därefter kan du skapa RODC-kontot genom att använda snapin-modulen Active Directory - användare och datorer. I konsolträdet kan du antingen högerklicka på behållaren Domänkontrollanter eller klicka på behållaren Domänkontrollanter och sedan klicka på Åtgärd. Klicka sedan på Skapa ett konto för skrivskyddad domänkontrollant i förväg.
Du kan också skapa ett RODC-konto genom att köra dcpromo från kommandotolken, men då måste du också ange namnet på den domän där du installerar den skrivskyddade domänkontrollanten. Skriv följande kommando på kommandoraden och tryck på RETUR:
dcpromo /CreateDCAccount /ReplicaDomainDNSName:Domännamn
Domännamn är namnet på den domän där du planerar att installera en skrivskyddad domänkontrollant.
När du har skapat RODC-kontot visas det i behållaren Domänkontrollanter som ett ledigt domänkontrollantkonto tills en delegerad användare kopplar servern till det.
När den delegerade administratören tilldelar en statisk IP-adress och konfigurerar DNS-klientinställningarna för servern kan han eller hon köra installationsguiden för Active Directory Domain Services för att koppla servern på filialkontoret till det befintliga RODC-kontot. När du vill koppla servern till det befintliga kontot öppnar du Kommandotolken på den server som ska bli domänkontrollant, skriver följande kommando och trycker på RETUR:
dcpromo /UseExistingAccount:Attach
Den delegerade administratören får ett meddelande om att binärfilerna för AD DS installeras. Därefter startas det andra steget i installationen automatiskt av installationsguiden för Active Directory Domain Services. Den delegerade administratören kan lägga till parametern /adv till kommandot dcpromo eller markera kryssrutan Använd installation i avancerat läge på sidan Välkommen till guiden Installera Active Directory Domain Services i guiden och ange följande ytterligare installationsalternativ:
-
Om data ska replikeras via nätverket eller från media
-
Vilken domänkontrollant som ska användas som installationspartner
På sidan Nätverksautentiseringsuppgifter i guiden måste den delegerade administratören ange namnet på den/de domän(-er) i skogen där den skrivskyddade domänkontrollanten installeras, samt de alternativa autentiseringsuppgifter som ska användas för installationen. De alternativa autentiseringsuppgifterna krävs för att servern ska kunna kopplas till ett befintligt domänkontrollantkonto eftersom detta måste utföras av en domänanvändare. Den delegerade administratören loggade dock ursprungligen in på servern med ett lokalt administratörskonto eftersom servern ännu inte hade kopplats till domänen. Detta innebär att den delegerade administratören nu måste ange det domänanvändarkonto (eller ett konto som är medlem i den delegerade administrationsgruppen) som delegerades behörighet för att installera och administrera den skrivskyddade domänkontrollanten när medlemmen i gruppen för domänadministratörer skapade RODC-kontot.
Ta bort AD DS från en skrivskyddad domänkontrollant
En delegerad administratör kan ta bort AD DS från den skrivskyddade domänkontrollanten genom att köra Dcpromo.exe. I installationsguiden för Active Directory Domain Services uppmanas administratören att ange den information, inklusive lösenordet för det nya lokala administratörskontot, som krävs för att AD DS ska kunna tas bort och för att datorn ska kunna fungera som en fristående server. Du måste starta om servern för att slutföra borttagningen av AD DS.
Identifiera datornamn- och kontokonflikter
När den delegerade administratören har angett vilket RODC-konto som servern ska kopplas till kontrollerar installationsguiden för Active Directory Domain Services att kontot inte redan används av en aktiv domänkontrollant. Om verifieringen genomförs utan problem görs ett automatiskt försök att koppla servern till kontot och slutföra installationen.
Om inget matchande datorkonto hittas får den delegerade administratören möjlighet att ange ett annat servernamn som matchar ett befintligt datorkonto eller att vidta andra åtgärder för att lösa namnkonflikten.
Om ett matchande domänkontrollantkonto hittas men kontot redan har aktiverats görs ett försök att kontakta domänkontrollanten för att kontrollera att den är online. Därefter sker följande:
-
Om det redan finns en domänkontrollant med samma namn som är online kan AD DS-installationen inte slutföras i guiden. För att åtgärda detta måste administratören ange ett namn på ett RODC-konto som inte redan används för den server där RODC-installationen utförs.
-
Om det inte går att fastställa om det finns en annan domänkontrollant med samma namn som är online visas en varning för den delegerade administratören om att det eventuellt finns en domänkontrollant med samma kontonamn som är online (även om det inte gick att upprätta kontakt med den) och att denna kontrollant kanske inte fungerar om installationen slutförs.
Den här situationen kan uppstå om ett försök att koppla servern till det befintliga kontot har gjorts tidigare, men försöket avbröts innan installationen slutfördes. I så fall kan status för RODC-kontot ändras från inaktivt till aktivt innan installationen har slutförts. Om detta sker kan den delegerade administratören klicka på OK i varningen för att fortsätta.
Mer information finns i Välja ett konto för en skrivskyddad domänkontrollant (RODC).