Заметки сисадмина
Назад

Установка контроллера домена только для чтения (RODC) на базе Windows 2012 R2 (core)

Опубликовано: 15.05.2015
Время на чтение: 33 мин
4
3856

dc3_domain_controllerШАГ4. Установка контроллера домена только для чтения. Настройка служб Active Directory, DNS, DHCP.

Предполагается, что в филиале у нас также имеется Windows Server Core и необходимо развернуть на нем контроллер домена только для чтения. Рассмотрим два варианта установки, при помощи графического интерфейса из Server Manager и с помощью консоли в Powershell.

При помощи sconfig, назначим имя контролеру - dc3, разрешим удаленное управление, добавим сервер в домен.

Активируем правила на firewall для обнаружения сервера по dns и удаленного управления из Server Manager.

Enable-NetFirewallRule -DisplayGroup “File and Printer Sharing”

С другого компьютера/сервера переходим в Server Manager, нажимаем Manage и выбирем Add Servers. В появившемся окне Add Servers переходим на вкладку DNS и находим там наш сервер. Нажимаем ОК.

server_manager_add_servers2

Если видим, что в поле Manageability запись изменилась на 'Online - Performance counters not started' то можно приступать к процессу развертывания служб AD DS при помощи мастера добавления ролей и компонентов.

server_manager_three_controllers_domain

Итак, при помощи мастера, отмечаем для установки роли Active Directory Domain Services, DHCP Server, DNS Server, доходим до завершающего этапа при помощи кнопки далее и перегружаем сервер.

server_manager_add_roles

После перезагрузки, заходим в диспетчер сервера, завершим конфигурацию DHCP-сервера выбором Complete DHCP Configuration, как мы это делали когда разворачивали первый и второй контроллеры домена.

Здесь же, запустим мастер конфигурации доменных служб Active Directory выбрав пункт Promote this server to a domain controller - Повысить этот сервер до контроллера домена.

server_manager_promote_to_domain_controller3

Запустится мастер Active Directory Domain Services Configuration Wizard (Мастер конфигурации доменных служб Active Directory). Оставляем первый вариант (по умолчанию) - Add a domain controller to an existing domain - добавить дополнительный контроллер домена в существующем домене. Укажем учетные данные доменного администратора. Жмем Далее.

server_manager_dc3_existing_domain

На следующем экране, поставим галочку Read only domain controller (RODC) и укажем пароль для режима восстановления службы каталогов (DSRM).

server_manager_RODC Install1

На экране RODC Option в поле 'Delagated administrator account' (делегированная учетная запись администратора) можно указать или создать доменную учетную запись, которая будет выполнять роль локального администратора сервера RODC и выполнять административные функции. При этом данная учетная запись не будет входить в группу администраторов домена или встроенных учетных записей администраторов домена и не иметь никаких разрешений AD DS.

В поле 'Accounts that are allowed to replicate passwords to the RODC' можно задать группу пользователей, которым разрешено реплицировать пароли в RODC. В ситуации, когда основной контроллер домена не доступен, пользователи указанные в данной группе смогут авторизоваться на контроллере RODC. Оставим по умолчанию.

В поле 'Account that are denied from replicaing passwords to the RODC' указываются пользователи, которым запрещено реплицировать пароли в RODC. Соответственно, если основной контроллер домена не доступен, то пользователи указанные в данной группе авторизоваться в домене не смогут. Оставляем по умолчанию. Жмем Далее.

server_manager_RODC Install2

На экране Additional Option (Дополнительные параметры) можно указать имя контроллера домена, который будет использоваться в качестве источника репликации. Жмем Далее.

server_manager_dc3_additional_options

На экране Paths можно изменить путь к каталогам баз данных, файлам журнала и к SYSVOL. Оставляем по умолчанию, нажимаем Next.

server_manager_dc3_path

На экране Review Options отображается сводная информация по настройке. При помощи кнопки View Script, можно просмотреть и сохранить сценарий Powershell, при помощи которого, можно будет в последствии развернуть контроллер домена только для чтения в автоматическом режиме. Нажимаем Next.

server_manager_dc3_review_options

На последнем этапе предварительных проверок, если видим надпись: "All prerequisite checks are passed successfully. Click «install» to begin installation." (Все предварительные проверки пройдены успешно. Нажмите кнопку «установить», чтобы начать установку.), нажимаем Install и дожидаемся окончания процесса установки.

server_manager_ad-ds_install_prerequisites_check

Второй вариант развертывания сервера RODC, заключается в предварительном создании учетной записи контроллера домена только для чтения при помощи специального мастера, который можно запустить из оснастки Active Directory Users and Computers. Для этого добавляемый компьютер не должен быть членом домена и иметь сетевое имя такое же как у будущего контроллера.

На первом контроллере запускаем оснастку Active Directory Users and Computers, щелкаем правой кнопкой по контейнеру Domain Controllers и выбираем там Pre-create Read-only Domain Controller account (Предварительное создание учетной записи контроллера домена только для чтения)

server_manager_dc3_pre_create_rodc

Запустится мастер Active Directory Domain Services Installation Wizard. Отметим галочку Use advanced mode installation (Использовать расширенный режим) если хотим просмотреть политики репликации паролей. Жмем Далее.

active_directory_rodc_wizard1

На следующем экране укажем мастеру учетные данные администратора домена (по умолчанию) или выберем другую учетную запись (Alternate credentials) имеющую административные привилегии. Жмем Далее.

server_manager_RODC Install3

Далее укажем имя компьютера, которое еще не занято и которое должно соответствовать имени будущего контроллера домена только для чтения.

server_manager_RODC Install4

На следующем экране выберем сайт, жмем Далее.

server_manager_RODC Install5

На экране Addional Domain Controller Options (Дополнительные параметры контроллера домена) согласимся с тем что контроллер будет выступать в роли DNS-сервера и глобального каталога. Жмем Далее.

server_manager_RODC Install6

Далее если мы, на первом этапе включили расширенный режим установки, то появится диалоговое окно, где можно задать политику репликации паролей, т.е. указать учетные записи которым разрешено или запрещено кэшировать пароли на контроллере RODC.

server_manager_RODC Install7

Следующее диалоговое окно Delegation of RODC installation and Administration (Делегирование установки и администрирования RODC) позволяет настроить специального пользователя, которому будет разрешено подключать сервер к учетной записи компьютера RODC, или группу таких пользователей. Чтобы выбрать пользователя или группу в домене, нажимаем Set (Выбрать). Пользователь или группа, указанные в этом диалоговом окне, получают доступ к RODC с разрешениями локального администратора. Указанный пользователь или члены указанной группы могут выполнять в RODC операции с правами, эквивалентными правам группы администраторов компьютера, при этом они не являются членами группы администраторов домена или встроенной группы "Администраторы" домена.

С помощью этого параметра можно делегировать права на администрирование филиала, не предоставляя администраторам филиала членство в группе администраторов домена, но делать это не обязательно.

server_manager_RODC Install8

На следующем экране будет показана сводная информация по установке. Кнопка Export Settings позволяет экспортировать параметры установки в текстовый файл ответов для последующей установки из командной строки с использованием dcpromo. Нажатием Next подтвердим параметры установки.

server_manager_RODC Install9

Завершаем работу мастера нажатием Finish. В контейнере Domain Controllers появится незанятая учетная запись контроллера домена - Uunoccupied  DC Account (Read-Only), GC

rodc_unoccupied

Теперь что бы завершить установку контроллера домена только для чтения на компьютере DC3 c использованием предварительно созданной учетной записи, в диспетчере сервера необходимо добавить компьютер в список серверов, после чего запустить мастер конфигурации доменных служб Active Directory.

Для управления 'не доменным компьютером' при помощи диспетчера сервера, необходимо добавить этот компьютер в список исключений winrm при помощи следующей команды:

winrm set winrm/config/client @{TrustedHosts="DC3"}

Затем, подключить компьютер с использованием учетных данных локального администратора выбрав Manage As (Управлять как), в противном случае диспетчер выдаст ошибку аутентификации kerberos.

После, когда компьютер примет статус 'Online - Performance counters not started' можно приступать к процессу запуска мастера для повышения компьютера до контроллера домена. Для этого запускам пиктограмму флажка в верхней части окна Server Manager и выбираем - Promote this server to domain controller. Запустится уже знакомый нам мастер конфигурации доменных служб Active Directory, но в данном случае шагов по установке будет немного меньше, т.к. основную информацию мы уже указали в процессе создания учетной записи.

Итак, выбираем дополнительный контроллер домена в существующем домене, указываем учетные данные доменного администратора. Жмем Далее. Затем мастер радостно отрапортует нам, что обнаружил в директории предварительно настроенную учетную запись контроллера домена только для чтения и предложит либо использовать существующие параметры (Use existing RODC account) или переустановить сервер по новой (Reinstall this domain controller). Укажем пароль для режима восстановления службы каталогов (DSRM) и жмем Next.

RODC Install_existing_account

Затем как в первом случае, последовательно нажимая далее, укажем контроллер домена, который будет использоваться в качестве источника репликации, согласимся с предлагаемыми по умолчанию, путями базы, логов и sysvol, экспортируем скрипт если нужно и наконец согласимся с предлагаемыми параметрами нажатием Install. Дожидаемся окончания процесса установки.

RODC Install_existing_account2
Не сложнее развернуть контроллер домена только для чтения будет при помощи команд в powershell.

Сначала добавляем роли и сопутствующие службы AD DS, DNS, DHCP.

Install-windowsfeature -name AD-Domain-Services,DNS,DHCP -IncludeManagementTools

или аналогичная команда с использованием скрипта:

Install-windowsfeature –ConfigurationFilePath
С:\DeploymentConfigTemplate.xml

затем, создадим предварительную учетную запись контроллера домена только для чтения:

Import-Module ADDSDeployment
Add-ADDSReadOnlyDomainControllerAccount -DomainName "test.ru" -Credential (get-credential test.ru\Administrator) -domaincontrolleraccountname "DC3" -sitename "Default-First-Site-Name" -delegatedadministratoraccountname "TEST\RODCAdmin"

где,

- Add-ADDSReadOnlyDomainControllerAccount - добавить учетную запись RODC,
- DomainName - имя домена,
- Credential (get-credential) - учетные данные для авторизации в домене,
- domaincontrolleraccountname - имя предварительной созданной учетной записи контроллера домена только для чтения (соответствует имени компьютера),
- sitename - имя сайта,
- delegatedadministratoraccountname  - имя делегируемой учетной записи администратора;

Теперь, запускаем саму установку контроллера с предустановленной учетной записью:

Install-ADDSDomainController -DomainName "test.ru" -Credential (get-credential ITME\Administrator) - UseExistingAccount

где,
- Install-ADDSDomainController - установить дополнительный контроллер домена,
- DomainName "test.ru" - имя домена,
- Credential (get-credential) - учетные данные для авторизации в домене.
- UseExistingAccount - параметр указывающий использовать существующую учетную запись RODC.

Набираем пароль администратора домена, затем укажем пароль для режима восстановления (Directory Services Restore Mode - DSRM). Нажимаем Yes и дожидаемся окончания процесса установки, после чего сервер будет перезагружен. На выходе получим дополнительный (Replica) контроллер домена только для чтения (RODC) в домене test.ru. Подробнее с процессом установки RODC знакомимся на оф сайте microsoft.

, , , ,
Поделиться
Похожие записи