Итак, в этом цикле статей я уже объяснил, что собой представляют контроллеры домена – только чтение, а также некоторые преимущества их использования. В этой части я покажу вам, как устанавливать контроллеры домена Read Only Domain Controller (RODC).
Прежде чем начать
Прежде чем мы начнем с процедурами установки, необходимо установить Windows Server 2008 на свой контроллер домена – только чтение и присоединить этот сервер к домену. Технически можно создать контроллер домена RODC без подключения этого сервера к домену, однако описываемые здесь шаги предполагают, что сервер входит в состав домена.
Функциональный уровень леса
Прежде чем приступать, необходимо убедиться в том, что функциональный уровень леса задан для Windows Server 2003 или более поздней версии. Для этого открываем консоль Active Directory Domains and Trusts. Когда консоль откроется, нажмите правой клавишей на списке лесов Active Directory, а затем выберите команду Свойства из появившегося контекстного меню. Как показано на рисунке A, функциональный уровень леса перечислен на странице свойств в закладке Общие.
Рисунок A: Необходимо убедиться, что функциональный уровень имеет значение Windows Server 2003 или более поздней версии
Если функциональный уровень леса недостаточен, вам придется поднять его, прежде чем продолжать. При этом следует учитывать, что вы больше не сможете использовать контроллеры домена под управлением Windows 2000 в своем лесу. Чтобы поднять функциональный уровень леса, нажмите OK для закрытия страницы свойств. Теперь нажмите правой клавишей на списке своего леса еще раз и выберите опцию «Поднять функциональный уровень (Raise Forest Functional level) из появившегося контекстного меню. На открывшейся странице выберите опцию Windows Server 2003, а затем нажмите кнопку Поднять (Raise).
Обновление разделов каталога приложений (Application Directory Partitions)
Следующим шагом в этом процессе будет обновление разрешений для всех разделов каталога приложений в лесу. Таким образом, эти разделы смогут реплицироваться любым контроллером домена – только чтение, также работающим в качестве DNS сервера.
Для этого вставляем установочный диск Windows Server 2008 в привод машины контроллера домена, который был настроен в качестве мастера схемы домена. Затем копируем папку \Sources\Adprep с DVD в любую папку на жестком диске сервера. Наконец, открываем окно интерпретатора команд и переходим к только что созданной папке ADPREP, а затем выполняем следующую команду:
ADPREP /RODCPREP
На рисунке B показано, как выглядит экран, когда команда запущена.
Рисунок B: Выполнение команды ADPREP /RODCPREP
Делаем сервер контроллером домена
Теперь пришло время настроить наши серверы в качестве контролеров домена – только чтение. Это процесс, на самом деле, довольно похож на процесс, который обычно используется для настройки любых других серверов на работу в качестве контроллеров домена.
Сначала входим в систему сервера от имени учетной записи, принадлежащей к группе администраторов домена (Domain Admins). На данном этапе вводим команду DCPROMO в текстовое поле Выполнить. В результате Windows запустит мастера установки служб домена Active Directory Domain Services Installation Wizard. Этот мастер быстро выполнит проверку, чтобы убедиться, что все необходимее исполняемые файлы Active Directory установлены. Эти исполняемые файлы не устанавливаются по умолчанию, поэтому мастер сделает это самостоятельно.
По завершении установки эти исполняемых файлов Windows отобразит приветственную страницу мастера, как показано на рисунке C. Хотя обычно эта страница пропускается, в данном случае вам нужно отметить на этой странице опцию Использовать расширенный способ установки (Use Advanced Mode Installation).
Рисунок C: Выбор опции расширенного способа установки
Нажмите Далее, и мастер задаст вам вопрос о том, какой лес и домен будет обслуживать новый контроллер домена. Выберите опцию для добавления контроллера домена к существующему домену в существующем лесу, как показано на рисунке D.
Рисунок D: Выберите опцию добавления контроллера домена в существующий домен
Нажмите Далее, и мастер попросит вас указать имя домена, к которому вы планируете добавить контроллер домена. Также нужно подтвердить, что вы хотите использовать те же учетные данные, под которыми вы вошли, когда давали серверу статус контроллера домена, как показано на рисунке E. Когда все готово, нажмите Далее.
Рисунок E: Введите имя домена, к которому хотите добавить этот контроллер
Следующий рисунок немного лишний. В этом окне мастер просто просит подтвердить выбор домена, как показано на рисунке F. После этого нажимаем Далее.
Рисунок F: Подтверждение выбранного домена
Теперь у вас должна открыться страница, на которой мастер просит указать имя сайта, на котором вы хотите разместить новый контроллер домена, как показано на рисунке G. Это особенно важно для контроллеров домена RODC, поскольку они обычно размещаются в офисах филиалов, которые почти всегда расположены на отдельном сайте Active Directory.
Рисунок G: Укажите сайт Active Directory, на котором будет размещен новый контроллер домена
Нажмите Далее, и мастер попросит вас выбрать дополнительные опции для контроллера домена, как показано на рисунке H. Здесь нужно выбрать опцию Read Only Domain Controller, но также будет хорошей мыслью сделать контроллер домена сервером DNS и сервером глобальных каталогов.
Рисунок H: Обязательно выберите опцию Read Only Domain Controller
Нажмите Далее, где вам нужно будет определить политику репликации паролей, как показано на рисунке I. Именно здесь вы контролируете то, какие пароли разрешены для копирования на Read Only Domain Controller. Здесь можно внести любые нужные вам изменения, но, как правило, умолчания отлично работают.
Рисунок I: Стандартные параметры отлично работают
Нажмите Далее, и вам будет дана возможность назначить пользователя или группу для завершения процесса установки RODC. В нашем случае не нужно об этом беспокоиться, поскольку мы завершим процесс установки через пару шагов.
На следующей странице вам даются на выбор опции репликации данных по сети с контроллера домена или создания базы данных Active Directory из файла. Создание базы данных Active Directory из файла очень удобно, если у вас есть большая база данных и низкоскоростное подключение. В противном случае вы можете просто реплицировать данные по сети, как показано на рисунке J.
Рисунок J: Выбор источника репликации данных Active Directory
На следующей странице вам нужно выбрать партнера репликации для контроллера домена. Лучшим вариантом является позволение Windows выбрать партнера репликации вместо вас, если только у вас нет веской причины указывать определенный контроллер домена в качестве партнера репликации.
После нажатия Далее, вы попадете в раздел мастера, с которым вы уже, вероятно, знакомы. На этой странице вам нужно указать место, где будет храниться база данных Active Directory. Выберите его и нажмите Далее.
Теперь мастер попросит вас ввести пароль Directory Services Restore Mode. Введите пароль и нажмите Далее.
После этого вы увидите краткую информацию о выбранных вами опциях установки. Если все правильно, нажмите Далее, чтобы начать процесс установки контроллера домена. По завершении процесса установки нажмите Завершить и перезагрузите сервер.
Заключение
Теперь, когда вы установили свой первый RODC, вы, возможно, захотите установить еще RODC. Если так, вам нужно подождать, пока следующий цикл репликации закончится. В противном случае вы можете получить ошибки Active Directory.