5部署 RODC 的步骤Word格式文档下载.docx
- 文档编号:21049130
- 上传时间:2023-01-27
- 格式:DOCX
- 页数:14
- 大小:131.27KB
5部署 RODC 的步骤Word格式文档下载.docx
《5部署 RODC 的步骤Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《5部署 RODC 的步骤Word格式文档下载.docx(14页珍藏版)》请在冰豆网上搜索。
确保林功能级别为WindowsServer
管理凭据
任何域用户都可以验证当前的林功能级别是否是WindowsServer
2003或更高版本。
若要提升林功能级别,您必须是目录林根级域中DomainAdmins组的成员或者EnterpriseAdmins组的成员。
2003或更高版本的步骤
1.打开“ActiveDirectory域和信任关系”。
2.在控制台树中,右键单击林的名称,然后单击“属性”。
3.在“林功能级别”下,验证值是Windows
2003还是WindowsServer
2008。
4.如果有必要提升林功能级别,请在控制台树中,右键单击“ActiveDirectory域和信任关系”,然后单击“提升林功能级别”。
5.在“选择一个可用的林功能级别”中,单击Windows
2003,然后单击“提升”。
运行adprep/rodcprep
此步骤更新林中所有DNS应用程序目录分区上的权限。
这允许它们被也是DNS服务器的所有RODC成功复制。
若要运行adprep/rodcprep,您必须是EnterpriseAdmins组的成员。
运行adprep/rodcprep的步骤
1.以EnterpriseAdmins组成员的身份登录到域控制器。
2.将WindowsServer
2008安装DVD中\sources\adprep文件夹的内容复制到架构主机。
3.打开命令提示符,将目录更改为adprep文件夹,键入以下命令,然后按Enter:
adprep/rodcprep
安装运行WindowsServer
2008的可写域控制器
RODC必须从运行WindowsServer
2008的可写域控制器复制域更新。
安装RODC之前,确保在同一域中安装运行WindowsServer
2008的可写域控制器。
域控制器可以运行完整安装或服务器核心安装的WindowsServer
在WindowsServer
2008中,可写域控制器不需要保留主域控制器(PDC)仿真器操作主机角色。
有关安装运行WindowsServer
2008的可写域控制器的详细信息以及循序渐进过程,请参阅WindowsServer
2008ActiveDirectory域服务安装和删除的循序渐进指南(
可选:
将RODC安装到完整安装的Windows
您可以将RODC安装到完整安装的WindowsServer
2008上或是服务器核心安装的WindowsServer
2008上。
可以采用各种方式启动Active
Directory域服务安装向导。
有关完整列表,请参阅WindowsServer
在域中安装了第一个RODC之后,留出足够的时间以便新的密码复制策略组复制到域中的其他域控制器,然后再尝试安装其他RODC。
这样有助于防止在安装RODC期间由于组在源域控制器上不可用而发生错误。
若要将RODC安装在完整安装的WindowsServer
2008上,您必须是DomainAdmins组的成员。
Server2008上的步骤
1.以DomainAdmins组成员的身份登录到服务器。
2.单击“开始”,键入dcpromo,然后按Enter以启动Active
服务器可以属于某个工作组。
如果您没有委派安装,则服务器也可以加入到您希望其成为RODC的域中。
备注
如果您在“欢迎使用ActiveDirectory域服务安装向导”页上选中了“使用高级模式安装”复选框,则可以在安装AD
DS期间配置RODC的密码复制策略和其他设置。
在本指南中,管理RODC的步骤提供了配置密码复制策略的过程。
有关选中“使用高级模式安装”复选框时可以配置的设置的完整列表,请单击“高级模式安装”帮助链接。
3.在“选择某一部署配置”页上,单击“现有林”,单击“向现有域添加域控制器”,如下图所示,然后单击“下一步”。
4.在“网络凭据”页上,键入计划安装RODC的林中域的名称。
如有必要,还要键入DomainAdmins组成员的用户名和密码,然后单击“下一步”。
5.为RODC选择域,然后单击“下一步”。
6.单击RODC的Active
Directory站点,如下图所示,然后单击“下一步”。
7.选中“只读域控制器”复选框,如下图所示。
默认情况下,“DNS服务器”复选框也是选中的。
若要在RODC上运行DNS服务器,运行WindowsServer
2008的另一个域控制器必须正在域中运行并且承载DNS域区域。
RODC上的Active
Directory集成区域始终是区域文件的一个只读副本。
将更新发送到中心站点中的DNS服务器,而不是在RODC上本地进行。
8.若要使用为Active
Directory数据库、日志文件以及SYSVOL指定的默认文件夹,请单击“下一步”。
9.键入然后确认目录服务还原模式密码,然后单击“下一步”。
10.确认在“摘要”页上出现的信息,然后单击“下一步”以启动AD
DS安装。
您可以选中“完成后重新启动”复选框使其余安装自动完成。
这是一个可选任务。
如果您选择将RODC安装在服务器核心安装的WindowsServer
2008上,则您必须是DomainAdmins组的成员或者您必须已经被委派了执行安装的能力。
若要将RODC安装在服务器核心安装的WindowsServer
2008上,您必须执行AD
DS的无人参与安装。
以下过程包括在无人参与安装期间可以在答案文件中指定的参数。
如果使用dcpromo/unattend命令,您还可以在命令行上指定这些参数。
有关AD
DS的无人参与安装参数以及安装之后返回的退出代码的详细信息,请参阅WindowsServer
将RODC安装在服务器核心安装的Windows
1.安装另一台运行服务器核心安装的WindowsServer
2008的服务器计算机。
2.将下列答案文件设置复制到文本文件。
InstallDNS、PasswordReplicationAllowed、PasswordReplicationDenied和ReplicationSourceDC设置是可选的。
用您环境的正确信息替换占位符信息(为斜体)。
然后用安装期间您将用于答案文件的名称保存该文本文件:
[DCInstall]
InstallDNS=Yes
ConfirmGc=No
CriticalReplicationOnly=No
DisableCancelForDnsInstall=No
PasswordReplicationAllowed=允许将其成员的密码缓存在RODC上的组的名称
PasswordReplicationDenied=不允许将其成员的密码缓存在RODC上的组的名称
Password=DomainAdmin密码
RebootOnCompletion=No
ReplicaDomainDNSName=域的DNS全名
ReplicaOrNewDomain=ReadOnlyReplica
ReplicationSourceDC=同一域中WindowsServer
2008域控制器的名称
SafeModeAdminPassword=选择用于目录服务还原模式的适当密码
SiteName=RODC站点名称
UserDomain=DomainName
UserName=DomainAdmin帐户名
指定为PasswordReplicationAllowed和PasswordReplicationDenied的值的组必须已经存在。
您必须使用Windows
NT格式(domain\user_name或\user_name)或使用用户主体名称(UPN)格式(user_name@)指定组。
为每个附加组添加另一个条目。
例如:
PasswordReplicationAllowed=CN=AllowedGroup,OU=Users,DC=spruce,DC=example,DC=contoso,DC=com
PasswordReplicationAllowed=CN=AllowedGroup2,OU=Users,DC=spruce,DC=example,DC=contoso,DC=com
如果您不希望在安装期间指定任何组,请保留此条目为空白。
3.在命令行上,键入以下命令,然后按Enter:
dcpromo/unattend:
PathToAnswerFile
您可以执行RODC分步安装,该安装由两个阶段组成,分别由不同的人来完成。
第一个安装阶段需要域管理凭据,此阶段在AD
DS中为RODC创建一个帐户。
第二个安装阶段将远程位置(如分支机构)中将要成为RODC的实际服务器关联到先前为其创建的帐户。
您可以委派将服务器关联到远程位置中非管理组或用户帐户的功能。
在安装的第一阶段中,向导记录将存储在分布式Active
Directory数据库中有关RODC的所有数据,包括只读域控制器帐户名以及它将要被放置到的站点。
此阶段必须由DomainAdmins组的成员执行。
创建RODC帐户的管理员也可以在此时指定哪些用户或组可以完成下一个安装阶段。
只要任何用户或组在帐户创建时被委派了完成安装的权限,便可以在分支机构中执行下一个安装阶段。
此阶段不要求内置组(例如DomainAdmins组)中的任何成员身份。
如果创建RODC帐户的用户没有指定用于完成安装(和管理RODC)的任何委派,则只有DomainAdmins组或EnterpriseAdmins组的成员可以完成安装。
在第二个阶段中,向导在将成为RODC的服务器上安装AD
DS并将该服务器关联到先前为其创建的域帐户。
此阶段通常发生在部署RODC的分支机构或其他远程位置。
在此阶段中,所有位于本地的AD
DS数据(例如数据库、日志文件等)都在RODC自身上创建。
可以将安装源文件通过网络从另一个域控制器中复制到RODC,或者您也可以使用从介质安装(IFM)的功能。
若要使用IFM,请使用Ntdsutil.exe创建安装介质。
尝试将要成为RODC的服务器附加到RODC帐户之前,它不得加入域中。
作为安装过程的一部分,该向导会自动检测该服务器的名称是否与事先为该域创建的任何RODC帐户的名称匹配。
如果向导发现匹配的帐户名称,它会提示用户使用该帐户来完成RODC安装。
您可以使用ActiveDirectory用户和计算机管理单元创建RODC帐户。
可以通过在命令提示符下键入dcpromo以及适当的参数或使用答案文件自动执行RODC的分步安装。
有关自动安装的详细信息,请参阅WindowsServer
使用Windows界面创建RODC帐户的步骤
1.依次单击“开始”、“管理工具”和“ActiveDirectory用户和计算机”。
2.双击域控制器,然后右键单击“域控制器”容器或单击“域控制器”容器,然后单击“操作”。
3.单击“预创建只读域控制器帐户”,如下图所示。
4.在“欢迎使用ActiveDirectory域服务安装向导”页上,如果您想修改默认的密码复制策略,请选择“使用高级模式安装”,然后单击“下一步”。
5.在“网络凭据”页上的“请指定用于执行安装的帐户凭据”下,单击“我的当前登录凭据”,如下图所示,或单击“备用凭据”,然后单击“设置”。
在“Windows安全”对话框中,提供可用来安装其他域控制器帐户的用户名和密码。
若要安装其他域控制器,您必须是EnterpriseAdmins组或DomainAdmins组的成员。
提供凭据后,单击“下一步”。
6.在“指定计算机名称”页上,键入将成为RODC的服务器的计算机名称。
7.在“请选择一个站点”页上,从列表中选择站点,或在与运行该向导的计算机的IP地址相对应的站点中,选择用于安装域控制器的选项,然后单击“下一步”。
8.在“其他域控制器选项”页上,执行如下选择,如下图所示,然后单击“下一步”:
∙“DNS服务器”:
默认情况下选中该选项,以使您的域控制器可以用作DNS服务器。
如果您不想将域控制器作为DNS服务器,请清除此复选框。
但是,如果您没有在RODC上安装DNS服务器角色,并且该RODC是分支机构中唯一的域控制器,则分支机构中的用户将无法在中心站点的WAN脱机时执行名称解析。
∙“全局编录”:
默认情况下选中该选项。
它会将全局编录的只读目录分区添加到域控制器,并且将启用全局编录搜索功能。
如果您不希望域控制器成为全局编录服务器,则清除该选项。
但是,如果您没有在分支机构中安装全局编录服务器,或者没有为包含RODC的站点启用通用组成员身份缓存,则分支机构中的用户将无法在中心站点的WAN脱机时登录域。
∙“只读域控制器”。
当创建RODC帐户时,该选项为默认选中且无法清除。
9.如果您选中了“欢迎使用”页上的“使用高级模式安装”复选框,则会出现“指定密码复制策略”页。
默认情况下,帐户密码不会复制到RODC,并且明确拒绝安全敏感帐户(如DomainAdmins组的成员)在任何时候将其密码复制到RODC。
若要接受默认设置,请单击“下一步”。
若要向策略添加其他帐户,请单击“添加”。
如果您希望允许帐户将其密码复制到RODC,则单击“允许该帐户的密码复制到此RODC中”。
如果您希望拒绝帐户将其密码复制到RODC,请单击“拒绝该帐户的密码复制到此RODC中”。
然后单击“确定”。
添加完其他帐户后,单击“下一步”。
当在域中安装第一个RODC时,要使RODC起作用,需要创建域组帐户。
根据您的复制拓扑,当您尝试在域中安装另一个RODC时,向导可能会返回一个错误,指出这些组帐户不可用。
这种情况下,需等待复制完成,然后再安装其他RODC。
有关配置密码复制策略的详细信息,请参阅管理RODC的步骤。
10.在“选择用户、计算机和组”中,键入您要添加到该策略的帐户的名称,然后单击“确定”。
11.在“用于RODC安装和管理的委派”页上,键入将服务器关联到正在创建的RODC帐户的用户或组的名称,如下图所示。
您可以只键入一个安全主体的名称。
若要在目录中搜索特定用户或组,请单击“设置”。
在“选择用户、计算机或组”中,键入用户或组的名称。
我们建议您将RODC安装和管理委派给一个组。
安装之后,该用户或组在此RODC上也将具有本地管理权限。
如果未指定用户或组,则只有DomainAdmins组或EnterpriseAdmins组的成员才能将服务器关联到帐户。
完成后,单击“下一步”。
12.在“摘要”页上,检查您的选择。
如有必要,请单击“上一步”更改任何选项。
若要将选择的设置保存到答案文件以便以后自动执行AD
DS操作,请单击“导出设置”。
键入答案文件名,然后单击“保存”。
确认所做选择正确无误之后,请单击“下一步”创建RODC帐户。
13.在“完成ActiveDirectory域服务安装向导”页上,单击“完成”。
为RODC创建帐户之后,您委派了RODC的安装和管理权限的用户或组(在前面过程中的第11步中)可以在将成为RODC的服务器上运行ActiveDirectory域服务安装向导以完成RODC安装。
启动向导之前,确保该服务器未加入域中。
使用Windows界面将服务器附加到RODC帐户的步骤
1.以本地Administrator身份登录到将成为RODC的服务器,然后打开命令提示符。
2.键入以下命令,然后按Enter:
dcpromo/UseExistingAccount:
Attach
3.在“欢迎使用ActiveDirectory域服务安装向导”页上,单击“下一步”,如果您想从介质安装或标识AD
DS复制的源域控制器,则选中“使用高级模式安装”复选框。
4.在“网络凭据”页中,在计划安装其他域控制器的林中键入任何现有域的名称,如下图所示。
在“请指定用于执行安装的帐户凭据”下,单击“备用凭据”,然后单击“设置”。
在“Windows安全”对话框中,提供创建RODC时委派了安装和管理RODC功能的帐户的用户名和密码。
5.在“选择域控制器帐户”页上,确认向导已经找到了与服务器名称匹配的现有RODC帐户,然后单击“下一步”。
6.如果您选择了高级安装模式,则可以指定以下高级选项:
a.在“从介质安装”页上,您可以提供用于创建域控制器和配置AD
DS的安装介质的位置,也可以选择通过网络复制所有数据。
请注意,即使您选择从介质安装,也会通过网络复制某些数据。
有关使用该方法安装域控制器的信息,请参阅可选:
从介质安装RODC。
b.在“源域控制器”页上,您可以指定从中复制配置和架构目录分区(如果您未选择从介质安装,则为整个ActiveDirectory数据库)的域控制器。
如果选择“此特定的域控制器”,您可以选择想要提供源复制的域控制器新建域控制器,然后单击“下一步”。
7.在“数据库、日志文件和SYSVOL的位置”页上,键入或浏览到数据库文件、目录服务日志文件和系统卷(SYSVOL)文件的卷和文件夹位置,然后单击“下一步”。
WindowsServerBackup按卷备份目录服务。
为了有效地备份和恢复,请将这些文件存储到不包含应用程序或其他非目录文件的其他卷上。
8.在“目录服务还原模式的Administrator密码”页上,键入并确认还原模式密码,然后单击“下一步”。
对于必须脱机执行的任务,此密码可用于在目录服务还原模式下启动AD
DS。
密码的复杂性和长度必须符合域安全策略。
9.在“摘要”页上,检查您的选择。
确认所做选择正确无误之后,请单击“下一步”安装AD
10.还可以选中“完成后重新启动”复选框使服务器自动重启,也可在收到系统提示后重启服务器完成对AD
DS的安装。
在Windows
Server的早期版本中,鼓励管理员使用Ntbackup.exe创建域控制器安装介质。
2008中,鼓励管理员使用ntdsutil.exe创建安装介质。
您可以使用ntdsutil中新的ifm子命令从安装介质中删除缓存的机密(如密码)以便将其用于RODC安装。
Ntbackup.exe无法从安装介质中删除缓存的机密。
若要从介质安装RODC,请首先使用Ntdsutil创建安装介质。
然后,指定适合于您所使用的安装方法的IFM选项,如下表中所列出。
安装方法
指定IFM选项所需的操作
ActiveDirectory域服务安装向导
选中“欢迎使用”页上的“使用高级模式安装”复选框(对于委派和非委派的安装)。
命令行安装
键入dcpromo/unattend/ReplicationSourcePath:
"
到安装介质的路径"
添加完成安装所需的其他参数。
答案文件
创建一个答案文件,该文件包含ReplicationSourcePath="
的一个条目
在命令提示符下指定dcpromo/unattend:
到答案文件的路径"
。
有关从介质安装的详细信息,请参阅WindowsServer
删除运行WindowsServer
2008的域控制器
如果您选择删除运行WindowsServer
2008的域控制器,则您必须是DomainAdmins组的成员。
2008上删除域控制器的步骤
1.将下列答案文件设置复制到文本文件。
InstallDNS和ReplicationSourceDC设置是可选的。
用您环境的正确信息替换占位符信息(为斜体),然后保
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 5部署 RODC 的步骤 部署 步骤
![提示](https://static.bdocx.com/images/bang_tan.gif)