Как установить контроллер домена для чтения RODC Active Directory в Windows Server 2008 R2

Предварительные требования к развертыванию контроллера домена только для чтения указаны ниже.

• Контроллер домена только для чтения должен перенаправлять запросы проверки подлинности доступному для записи контроллеру домена с ОС Windows Server 2008. На этом контроллере домена должна быть задана политика репликации паролей, определяющая необходимость репликации учетных данных в филиале для перенаправленных запросов от контроллера домена только для чтения.
• Домен должен работать в режиме Windows Server 2003 или более высоком, чтобы можно было использовать ограниченное делегирование Kerberos. Ограниченное делегирование используется для обработки вызовов безопасности, которые должны олицетворяться в контексте вызывающей стороны.
• Лес должен работать в режиме Windows Server 2003 или более высоком, чтобы можно было использовать репликацию связанного значения. Это обеспечивает более высокую согласованность репликации.
• В лесу необходимо однократно выполнить команду adprep /rodcprep для обновления разрешений во всех разделах каталога приложений DNS в лесу. Это позволяет всем контроллерам домена только для чтения, которые также являются DNS-серверами, успешно реплицировать разрешения.

Контроллер домена только для чтения предназначен преимущественно для развертывания в удаленных средах и в филиалах. Для филиалов обычно характерны следующие особенности:

• сравнительно небольшое количество пользователей;
• низкий уровень физической безопасности;
• сравнительно низкая пропускная способность соединения с узловым сайтом;
• плохое знание информационных технологий сотрудниками.

Представим, что у вас есть два сайта AD и два офиса, главный и филиал, и в филиале планируется установка RODC.

Видим, что у нас есть контроллер домена rodc.msk.pyatilistnik.org

Запускаем мастер установки доменных служб Active Directory, в пуске пишем dcpromo.

В открывшемся окне мастера, жмем далее, но если нужно использовать загрузочный носитель IFM, то выбираем расширенный режим.

Далее.

Выбираем существующий лес, Добавить контроллер домена в существующий лес.

Выбираем имя домена и учетные данные у которых есть права на установку.

Я указываю данные администратора домена.

Далее.

Выбираем домен для добавления DC.

Указываем сайт AD, у меня один но в идеале у вас у каждого филиала должен быть свой сайт.

Снимаем галку Глобальный каталог и ставим RODC.

Теперь нам нужно указать пользователя или группу кто будет иметь права локального администратора на RODC,

Я для этого в ADUC создаю группу безопасности под именем Rodc_admin

Задаем эту группу

Задаем место хранения каталогов и БД

Задаем пароль администратора восстановления каталогов

Смотрим сводные данные и жмем далее.

Начнется установка поставьте галку перезагрузка, для автоматической перезагрузки.

После перезагрузки заходим на пишущий контроллер и открываем Active Directory Пользователи и компьютеры открываем контейнер Domain Controllers и видим наш RODC.

Вот так вот просто установить контроллер домена для чтения RODC Windows Server 2008 R2. Далее читайте базовая настройка контроллера домена для чтения RODC Windows Server 2008 R2.

Материал сайта pyatilistnik.org