您可以执行只读域控制器 (RODC) 的分步安装,在这种安装中,不同个体在两个阶段中完成安装。您可以使用 Active Directory 域服务安装向导来完成每个安装阶段。

RODC 分步安装说明

第一阶段安装会在 Active Directory 域服务 (AD DS) 中创建一个 RODC 帐户。第二阶段安装把将要成为 RODC 的实际服务器附加到先前为其创建的帐户。

在第一阶段中,Active Directory 域服务安装向导会记录将存储在分布式 Active Directory 数据库中的有关 RODC 的所有数据,例如 RODC 的域控制器帐户名称以及它将要放置到的站点。此阶段必须由 Domain Admins 组的成员执行。

创建 RODC 帐户的用户也可以在此时指定哪些用户或组可以完成下一个安装阶段。只要任何用户或组成员在帐户创建时被委派了完成安装的权限,便可以在分支机构中执行下一个安装阶段。此阶段不要求内置组(例如 Domain Admins 组)中的任何成员身份。如果创建 RODC 帐户的用户没有指定用于完成安装(和管理 RODC)的任何委派,则只有 Domain Admins 组或 Enterprise Admins 组的成员可以完成安装。

在第二阶段安装中,向导在将成为 RODC 的服务器上安装 AD DS。此阶段通常发生在部署 RODC 的分支机构。在此阶段中,所有位于本地的 AD DS 数据(例如数据库、日志文件等)都在 RODC 本身上创建。安装源文件可以通过网络从另一个域控制器中复制到 RODC,或者您也可以使用从介质安装 (IFM) 的功能。在使用 IFM 时,请使用 Ntdsutil.exe 来创建专为 RODC 安装而创建的安装介质。有关使用 IFM 的详细信息,请参阅从介质安装

尝试将要成为 RODC 的服务器附加到 RODC 帐户之前,它不得加入域中。作为安装过程的一部分,Active Directory 域服务安装向导会自动检测该服务器的名称是否匹配事先为该域创建的任何 RODC 帐户的名称。如果向导发现匹配的帐户名称,它会提示用户使用该帐户来完成 RODC 安装。

执行分步安装的情况

当组织使用分步安装时,与先前版本的 Windows Server 相比,它能够更有效地向分支机构位置部署域控制器。例如,位于中心位置的 Domain Admins 组的成员可以在 AD DS 中创建一个 RODC 帐户。此安装阶段将完成所有需要 Domain Admin 凭据的部署任务,例如为域控制器创建计算机帐户,为其指定站点,以及为服务器创建相关 NTDS 设置对象。

当 Domain Admins 组的成员创建 RODC 帐户时,他或她可以将完成分支机构 RODC 安装的权限委派给其他用户或安全组。将服务器附加到现有 RODC 帐户的任务不需要是 Domain Admins 组的成员才能执行。Domain Admins 组的成员在第一阶段安装中指定的任何委派管理员(或委派组成员)都可以执行此任务。

组织可以订购服务器并直接将服务器发运到要完成 RODC 安装的分支机构位置。在过去,通常需要订购分支机构的域控制器并将其发运到一个中心位置或暂存站点进行组装,然后才发运到对其部署的分支机构位置。此外,也可以在中心位置创建安装介质,然后将其发运到分支机构位置以完成域控制器安装。RODC 分步安装通过消除这些中间安装步骤,简化了域控制器的部署过程。

如何执行分步安装

在安装 RODC 之前,您必须先通过运行 adprep /rodcprep 准备好林。有关通过运行 adprep 准备林的详细信息,请参阅选择 Active Directory 域服务部署配置

然后您可以使用“Active Directory 用户和计算机”管理单元创建 RODC 帐户。在控制台树中,右键单击“域控制器”容器,或者依次单击“域控制器”容器、“操作”“预先创建只读域控制器”

您也可以通过在命令行处运行 dcpromo 来创建 RODC 帐户,但该命令必须同时指定要安装 RODC 的域的名称。在命令行处,键入以下命令,然后按 Enter:

dcpromo /CreateDCAccount /ReplicaDomainDNSName:DomainName

其中 DomainName 是您计划安装 RODC 的域的名称。

在创建 RODC 帐户后,它将会以未占用域控制器帐户的形式出现在“域控制器”容器中,直到某个委派用户将服务器附加到它。

在委派管理员为服务器分配静态 IP 地址并配置 DNS 客户端设置后,他或她就可以运行 Active Directory 域服务安装向导将分支机构中的服务器附加到现有 RODC 帐户。若要将服务器附加到现有帐户,请在将要成为域控制器的服务器中打开命令提示符,键入以下命令,然后按 Enter 键:

dcpromo /UseExistingAccount:Attach

委派管理员会收到即将安装 AD DS 二进制文件的通知。然后,Active Directory 域服务安装向导会自动启动第二阶段安装。委派管理员可以通过在 dcpromo 中添加 /adv 参数,或是选中向导的“欢迎使用 Active Directory 域服务安装向导”页中的“使用高级模式安装”复选框,指定下列其他安装选项:

  • 通过网络还是从介质中复制数据

  • 哪个域控制器要用作安装伙伴

在向导的“网络凭据”页上,委派管理员必须输入林中要安装 RODC 的任何域的名称,同时提供要供安装使用的备用凭据。若要将服务器附加到现有域控制器帐户,备用凭据是必需的,因为此操作必须由域用户执行。但是,委派管理员原来使用本地管理员帐户登录服务器,因为该服务器尚未加入域。因此,委派管理员现在必须指定在 Domain Admins 组成员创建 RODC 帐户时被委派了 RODC 的安装和管理权限的域用户帐户(或是属于委派管理组成员的帐户)。

从 RODC 中删除 AD DS

委派管理员可以通过运行 Dcpromo.exe 从 RODC 中删除 AD DS。Active Directory 域服务安装向导需要一些必要信息(包括新的本地 Administrator 帐户的密码),才能删除 AD DS 并使该计算机成为独立服务器。您必须重新启动服务器以完成 AD DS 删除。

检测计算机名称和帐户冲突

在委派管理员选择了服务器要附加到的 RODC 帐户的名称后,Active Directory 域服务安装向导会验证该帐户当前是否没有被活动的域控制器使用。如果验证成功,向导会自动尝试将服务器附加到该帐户,并完成安装过程。

如果向导找不到具有匹配名称的计算机帐户,则委派管理员可以将服务器重命名为与现有计算机帐户匹配的其他名称,或是执行其他步骤修复名称冲突。

如果向导找到匹配的域控制器帐户名称,但该帐户已启用,向导会尝试联系该域控制器以验证它是否联机。然后向导按照以下方式继续进行处理:

  • 如果向导确认另外一个同名域控制器已联机,它会阻止 AD DS 安装的完成。在此情况下,必须将正在安装 RODC 的服务器重命名为尚未使用的 RODC 帐户的名称。

  • 如果向导无法确认是否有另外一个同名域控制器处于联机状态,它会警告委派管理员:尽管向导无法联系到同名域控制器,但如果有同名域控制器处于联机状态,继续安装将会导致具有相同帐户名称的域控制器无法正常运行。

    如果先前曾经尝试过将服务器附加到现有帐户,但在安装完成前又取消了此操作,则可能会出现这种情况。在这种情况下,RODC 帐户的状态可能会在安装完成前从禁用更改为启用。如果出现这种情况,委派管理员可以在看到警告后单击“确定”以继续安装。

有关详细信息,请参阅选择只读域控制器帐户


目录