執行唯讀網域控制站的階段式安裝

安裝的第一階段是為 Active Directory 網域服務 (AD DS) 中的 RODC 建立帳戶。安裝的第二階段是將做為 RODC 使用的實際伺服器附加至先前為此伺服器而建立的帳戶。

在第一階段期間，Active Directory 網域服務安裝精靈會記錄 RODC 的所有資料，而這些資料將儲存在分散式 Active Directory 資料庫中，例如 RODC 的網域控制站帳戶名稱和放置 RODC 的站台。這個階段必須由 Domain Admins 群組的成員執行。

建立 RODC 帳戶的使用者也可以在當時指定能夠完成下一個安裝階段的使用者或群組。只要在帳戶建立時已被委派完成安裝的權限，群組的任何使用者或成員都可以在分公司執行下一個安裝階段。這個階段並不需要具備任何內建群組 (例如，Domain Admins 群組) 的成員資格。如果建立 RODC 帳戶的使用者未指定任何代表人員來完成安裝 (以及管理 RODC)，則只有 Domain Admins 群組或 Enterprise Admins 群組的成員才能完成安裝。

進行安裝的第二階段時，精靈會在即將成為 RODC 的伺服器上安裝 AD DS。這個階段通常是在部署 RODC 的分公司中進行。在這個階段中，會在 RODC 上建立位於本機的所有 AD DS 資料，例如資料庫、記錄檔等等。您可以透過網路從其他網域控制站將安裝來源檔案複寫至 RODC，或者也可以使用從媒體安裝 (IFM) 功能。當您使用 IFM 時，請使用 Ntdsutil.exe 來建立專門為 RODC 安裝而建立的安裝媒體。如需使用 IFM 的相關資訊，請參閱從媒體安裝。

即將成為 RODC 的伺服器必須先附加至 RODC 帳戶之後，才能加入網域。進行安裝時，Active Directory 網域服務安裝精靈會自動偵測該伺服器的名稱是否符合事先為網域建立的任何 RODC 帳戶名稱。當精靈找到符合的帳戶名稱時，就會提示使用者使用該帳戶來完成 RODC 安裝。

當組織使用階段式安裝時，將網域控制站部署到分公司位置的效率會優於使用舊版 Windows Server 進行部署的效率。例如，在中央位置的 Domain Admins 群組成員可以在 AD DS 中建立 RODC 帳戶。這個安裝階段會完成需要 Domain Admin 認證的所有部署工作，例如為網域控制站建立電腦帳戶、指定站台以及為伺服器建立相關的 NTDS 設定物件。

當 Domain Admins 群組的成員建立 RODC 帳戶時，該位人員可以將在分公司位置完成 RODC 安裝的權限委派給其他使用者或安全性群組。將伺服器附加至現有 RODC 帳戶的工作不一定要由 Domain Admins 群組的成員來執行。由 Domain Admins 群組成員在安裝的第一階段指定的任何委任系統管理員 (或委任群組成員) 都可以執行這項工作。

組織可以訂購伺服器並直接運送到要完成 RODC 安裝的分公司位置。過去，為分公司訂購網域控制站之後，通常必須先將它運送至中央位置或執行站台進行建置，接著才會運送到要進行部署的分公司位置。另一個替代方案是在中央位置建立安裝媒體，然後將該媒體運送到分公司位置以完成網域控制站安裝。RODC 階段式安裝會藉由減少這些中繼安裝步驟，來簡化網域控制站部署程序。

安裝 RODC 之前，您必須先執行adprep /rodcprep 來準備樹系。如需執行 adprep 以準備樹系的相關資訊，請參閱選擇 Active Directory 網域服務部署設定。

之後您就可以使用 [Active Directory 使用者和電腦] 嵌入式管理單元來建立 RODC 帳戶。在主控台樹狀目錄中，以滑鼠右鍵按一下 [網域控制站] 容器，或依序按一下 [網域控制站] 容器、[執行] 以及 [預先建立唯讀網域控制站帳戶]。

您也可以在命令列執行 dcpromo 來建立 RODC 帳戶，但該命令也必須指定您要在其中安裝 RODC 之網域的名稱。在命令列輸入下列命令，然後按 ENTER 鍵：

dcpromo /CreateDCAccount /ReplicaDomainDNSName:DomainName

其中 DomainName 是您計劃要安裝 RODC 所在的網域名稱。

在您建立 RODC 帳戶之後，該帳戶會在 [網域控制站] 容器中顯示為未佔用的網域控制站帳戶，直到委派的使用者將伺服器附加至該帳戶。

在委派的系統管理員指派靜態 IP 位址並為伺服器設定 DNS 用戶端設定後，該位人員就可以執行 Active Directory 網域服務安裝精靈，將位於分公司的伺服器附加至現有的 RODC 帳戶。若要將伺服器附加至現有的帳戶，請在即將成為網域控制站的伺服器上，開啟命令提示字元，輸入下列命令，然後按 ENTER 鍵：

dcpromo /UseExistingAccount:Attach

通知委派的系統管理員，表示正在安裝 AD DS 二進位檔。然後，Active Directory 網域服務安裝精靈會自動啟動安裝的第二階段。委派的系統管理員可以將 /adv 參數加入 dcpromo 命令中，或是在精靈的 [歡迎使用 Active Directory 網域服務安裝精靈] 頁面中選取 [使用進階模式安裝] 核取方塊，以指定下列的其他安裝選項：

• 選擇透過網路或從媒體複寫資料
  
  
• 選擇用來做為安裝夥伴的網域控制站
  
  

在精靈的 [網路認證] 頁面上，委派的系統管理員必須輸入網域名稱，而該網域可以是即將安裝 RODC 所在樹系中的任何網域，並輸入要用於安裝的替代認證。必須要有替代認證，才能將伺服器附加至現有的網域控制站帳戶，因為此工作必須由網域使用者執行。不過，委派的系統管理員原先是以本機系統管理員帳戶登入伺服器，因為該伺服器尚未加入網域。因此，委派的系統管理員現在必須指定網域使用者帳戶 (或屬於委派的系統管理員群組成員的帳戶)，而該帳戶在 Domain Admins 群組的成員建立 RODC 帳戶時，已經被委派安裝和管理 RODC 的權限。

委派的系統管理員可以執行 Dcpromo.exe 從 RODS 移除 AD DS。Active Directory 網域服務安裝精靈會要求您提供移除 AD DS 以及將電腦設成獨立伺服器所需的資訊，包括新的本機 Administrator 帳戶的密碼。您必須重新啟動該伺服器，才能完成 AD DS 移除作業。

在委派的系統管理員選取要附加伺服器的 RODC 帳戶名稱後，Active Directory 網域服務安裝精靈會確認使用中的網域控制站目前並未佔用該帳戶。如果確認成功，精靈會自動嘗試將伺服器附加至該帳戶，並完成安裝。

如果精靈找不到名稱相符的電腦帳戶，會讓委派的系統管理員有機會將伺服器重新命名成符合現有電腦帳戶的其他名稱，或是採取其他步驟來修正名稱衝突的情況。

如果精靈找到符合的網域控制站帳戶名稱，但該帳戶已經啟用，精靈就會嘗試連絡該網域控制站，確認該網域控制站已經連線。接著，精靈會進行下列動作：

• 如果精靈可確認名稱相同的其他網域控制站已經連線，則會封鎖 AD DS 安裝作業，使該作業無法完成。在此情況下，就必須以尚未使用的 RODC 帳戶名稱，重新命名執行 RODC 安裝所在的伺服器。
  
  
• 如果精靈無法確認名稱相同的其他網域控制站是否已經連線，則會警告委派的系統管理員，指出繼續安裝將導致帳戶名稱相同的網域控制站無法正確運作 (如果該網域控制站事實上已經連線)，儘管精靈無法與它連絡。
  
  如果先前曾經嘗試將伺服器附加至現有帳戶，但是卻在安裝完成之前取消該嘗試，就會發生這種情況。在此情況下，於安裝完成之前，RODC 帳戶的狀態可能會從停用變成啟用。如果發生這種情況，委派的系統管理員可在看到警告後，按一下 [確定] 繼續進行。
  
  

如需相關資訊，請參閱選取唯讀網域控制站帳戶。