Как установить контроллер домена для чтения RODC Active Directory в Windows Server 2008 R2

Обновлено 16.11.2017

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-000

Всем привет сегодня я хочу рассказать что такое RODC и как  установить контроллер домена для чтения RODC Active Directory в Windows Server 2008 R2. Контроллеры домена только для чтения (RODC) – новый тип контроллеров домена в операционной системе Windows Server 2008. Используя контроллер домена только для чтения, организации могут легко развернуть контроллер домена в местах, где невозможно гарантировать физическую безопасность. На контроллере домена только для чтения размещаются разделы базы данных доменных служб Active Directory, доступные только для чтения.

Для чего нужен контроллер домена только для чтения?

Самой частой причиной развертывания контроллера домена только для чтения является недостаточный уровень физической безопасности. Контроллер домена только для чтения можно более безопасно развернуть в тех местах, где необходимы быстродействующие надежные службы проверки подлинности, но невозможно гарантировать физическую безопасность контроллера домена, доступного для записи.

Подготовка к развертыванию

Предварительные требования к развертыванию контроллера домена только для чтения указаны ниже.

  • Контроллер домена только для чтения должен перенаправлять запросы проверки подлинности доступному для записи контроллеру домена с ОС Windows Server 2008. На этом контроллере домена должна быть задана политика репликации паролей, определяющая необходимость репликации учетных данных в филиале для перенаправленных запросов от контроллера домена только для чтения.
  • Домен должен работать в режиме Windows Server 2003 или более высоком, чтобы можно было использовать ограниченное делегирование Kerberos. Ограниченное делегирование используется для обработки вызовов безопасности, которые должны олицетворяться в контексте вызывающей стороны.
  • Лес должен работать в режиме Windows Server 2003 или более высоком, чтобы можно было использовать репликацию связанного значения. Это обеспечивает более высокую согласованность репликации.
  • В лесу необходимо однократно выполнить команду adprep /rodcprep для обновления разрешений во всех разделах каталога приложений DNS в лесу. Это позволяет всем контроллерам домена только для чтения, которые также являются DNS-серверами, успешно реплицировать разрешения.

Для кого предназначена эта возможность

Контроллер домена только для чтения предназначен преимущественно для развертывания в удаленных средах и в филиалах. Для филиалов обычно характерны следующие особенности:

  • сравнительно небольшое количество пользователей;
  • низкий уровень физической безопасности;
  • сравнительно низкая пропускная способность соединения с узловым сайтом;
  • плохое знание информационных технологий сотрудниками.

Представим, что у вас есть два сайта AD и два офиса, главный и филиал, и в филиале планируется установка RODC.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-00

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-00

Видим, что у нас есть контроллер домена rodc.msk.pyatilistnik.org

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-01

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-01

Запускаем мастер установки доменных служб Active Directory, в пуске пишем dcpromo.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-002

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-002

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-003

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-003

В открывшемся окне мастера, жмем далее, но если нужно использовать загрузочный носитель IFM, то выбираем расширенный режим.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-004

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-004

Далее.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-005

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-005

Выбираем существующий лес, Добавить контроллер домена в существующий лес.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-006

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-006

Выбираем имя домена и учетные данные у которых есть права на установку.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-007

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-007

Я указываю данные администратора домена.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-008

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-008

Далее.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-009

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-009

Выбираем домен для добавления DC.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-010

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-010

Указываем сайт AD, у меня один но в идеале у вас у каждого филиала должен быть свой сайт.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-011

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-011

Снимаем галку Глобальный каталог и ставим RODC.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-012

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-012

Теперь нам нужно указать пользователя или группу кто будет иметь права локального администратора на RODC,

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-013

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-013

Я для этого в ADUC создаю группу безопасности под именем Rodc_admin

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-14

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-14

Задаем эту группу

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-15

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-15

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-16

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-16

Задаем место хранения каталогов и БД

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-17

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-17

Задаем пароль администратора восстановления каталогов

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-18

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-18

Смотрим сводные данные и жмем далее.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-19

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-19

Начнется установка поставьте галку перезагрузка, для автоматической перезагрузки.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-20

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-20

После перезагрузки заходим на пишущий контроллер и открываем Active Directory Пользователи и компьютеры открываем контейнер Domain Controllers и видим наш RODC.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-21

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-21

Вот так вот просто установить контроллер домена для чтения RODC Windows Server 2008 R2. Далее читайте базовая настройка контроллера домена для чтения RODC Windows Server 2008 R2.

Материал сайта pyatilistnik.org

Автор - Сёмин Иван

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *