Текст книги "Настройка Active Directory. Windows Server 2008"

Автор книги: Dan Holme

Соавторы: Danielle Ruest,Nelson Ruest
сообщить о нарушении

Текущая страница: 47 (всего у книги 91 страниц)

сот. В качестве альтернативы параметры также можно указать в файле ответов

автоматизированной установки. Ф а й л ответов – это текстовый файл, содер-

жащий секцию с заголо в ком [DCINSTA LL], где в ф о р м е параметр^значение

указаны параметры и их значения. Так, следующий ф а й л указывается пара-

метром NewDomainDNSName:

[DCINSTALL]

NewDomainDNSName=contoso.com

Файл ответов вызывается добавлением пути к параметру unattend, например:

dcpromo /unattend: «путь к файлу ответов»

Параметры в файле ответов можно заменить параметрами командной стро-

ки. Например, если в файле ответов указан параметр NewDomainDNSName и в

командной строке также используется параметр /NewDomainDNSName, приори-

тет получит значение в командной строке. Если необходимых значений нет ни

в файле ответов, ни в командной строке, мастер установки доменных служб

Active Directory предложит указать параметр, так что ф а й л ответов можно

применять для частичной автоматизации установки, введя поднабор значений

конфигурации для использования во время интерактивной установки.

На машине с установленным ядром сервера (Server Core) при запуске ко-

манды Dcpromo.exe мастер недоступен. В таком случае команда Dcpromo.exe

вернет код ошибки.

Чтобы получить полный список параметров, которые можно указать при

автоматизированной установке AD DS, откройте окно командной строки от

имени администратора и введите следующую команду:

dcpromo /?[: операция]

Укажите одну из перечисленных ниже операций.

• Promotion возвращает все параметры, которые можно использовать при

создании контроллера домена.

' Занятие 1

Установка контроллеров домена 4 7 3

• C r e a t e D C A c c o u n t возвращает все параметры, которые можно использо-

вать при создании предварительной учетной записи контроллера домена

только для чтения ( R O D C ) .

• U s e E x i s t i n g A c c o u n t возвращает все параметры, которые можно исполь-

зовать для п р и к р е п л е н и я нового контроллера домена к предварительной

учетной записи R O D C .

• D e m o t i o n возвращает все параметры, которые можно использовать при

удалении контроллера домена.

К СВЕДЕНИЮ Параметры Dcpromo и автоматизированная установка

Полное описание параметров Dcpromo и автоматизированной установки можно найти

по адресу http://go.microsoft.com/fwlink/7LinkID~101181.

ПРИМЕЧАНИЕ Создание файла ответов

При использовании интерфейса Windows для создания контроллера домена мастер

установки доменных служб Active Directory на странице Сводка (Resume) предо-

ставляет опцию экспорта параметров в файл ответов. Если вам нужно создать файл

ответов для использования в командной строке, например на компьютере с установ-

ленным ядром сервера (Server Core), эту опцию мастера можно использовать для

генерирования файла ответов с корректными параметрами и значениями.

Установка нового леса Windows Server 2008

В главе 1 описана установка первого контроллера домена Windows Server 2008

в новом лесу с помощью интерфейса Windows. В упражнениях 3 и 4 занятия 1

этой главы детально описаны шаги при добавлении роли AD DS на сервер с по-

мощью Диспетчера сервера (Server Manager) и последующем запуске Dcpromo.

ехе, с тем чтобы превратить рядовой сервер в контроллер домена. При создании

корневого домена нового леса нужно указать DNS-имя корневого домена леса,

его имя NetBIOS, а также уровни леса и домена. Первый контроллер домена не

может быть контроллером домена только для чтения и должен быть сервером

глобального каталога GC (Global Catalog), Если мастер установки доменных

служб Active Directory определит, что необходимо установить или отконфи-

гурировать DNS, он автоматически выполнит эти операции.

Файл ответов можно указать с помощью команды dcpromo /unattend:"путь

к файлу ответов". С л е д у ю щ и й пример файла ответов содержит минимальный

набор параметров автоматизированной установки нового контроллера домена

Windows Server 2008 в новом лесу:

[DCINSTALL]

ReplicaOrNewDomain=domain

NewDomain=forest

NewDomainDNSName=fully q u a l i f i e d DNS name

DomainNetBiosName=domain NetBIOS name

ForestLevel={0=Windows 2000 Server Native:

2=Windows Server 2003 Native;

474 Контроллеры домена " г–

– – Глава 10

3=Windows Server 2008}

Domainlevel={0=Windows Server 2000 Native;

2=Windows Server 2003 Native;

3=Windows Server 2008)

InstallDNS=yes

DatabasePath="nyrb к папке в локальном томе"

LogPath="nyrb к папке в локальном томе"

SYSVOLPath="path to folder on a local volume"

SafeModeAdminPassword=napanb

RebootOnCompletion=yes

Один или несколько параметров и значений а в т о м а т и з и р о в а н н о й уста-

новки можно также ввести в командной строке. Например, если вы не хотите

указывать пароль режима восстановления служб каталогов (Directory Services

Restore Mode) в файле ответов, не вводите значение, а вместо этого при запуске

Dcpromo.exe укажите параметр /Sa/eModeAdminPassword:password.

В командную строку также можно включить все параметры. В следующем

примере первый контроллер создается в новом лесу, где не планируется уста-

новка контроллеров домена Windows Server 2003:

dcpromo /unattend /installDNS:yes /dns0nNetwork:yes

/replicaOrNewDomain:domain /newDomain:forest

/newDomainDnsName:contoso. com /DomainNetbiosName:contoso

/databasePath:"e:ntds" /logPath:"f:ntdslogs" /sysvolpath: "g:sysvol"

/safeModeAdminPassword: пароль /forestLevel:3 /domainLevel:3

/rebootOnCompletion:yes

Установка дополнительных контроллеров в домене

Если у вас имеется домен хотя бы с одним контроллером Windows 2000 Server,

Windows Server 2003 или Windows Server 2008, вы можете создать дополни-

тельные контроллеры домена для распределения п р о в е р к и подлинности, по-

вышения уровня отказоустойчивости на случай отказа одного из контроллеров

домена или проверки подлинности в удаленных узлах.

Установка первого контроллера домена W i n d o w s Server 2008

в существующем лесу или домене

Если у вас имеется лес с контроллерами д о м е н а W i n d o w s Server 2003 или

Windows 2000 Server, нужно подготовить их для создания первого контроллера

домена Windows Server 2008. Дело в том, что W i n d o w s Server 2008 добавляет

в каталог объекты и атрибуты, которые не поддерживают предыдущие версии

Windows. Поэтому требуется обновление схемы. Схема представляет собой

определение атрибутов и классов объектов, которые могут существовать в до-

мене. Она аналогична каталогу в том, что ее можно создать в других разделах

каталогов. Вот как можно подготовить схему леса для Windows Server 2008.

1. Войдите на компьютер, служащий мастером схемы, как член групп Ад-

министраторы предприятия (Enterprise Admins), Администраторы схемы

(Schema Admins) и Администраторы домена ( Do ma i n Admins).

Занятие 1

Установка контроллеров домена 48"|

На з а н я т и и 2 о п и с а н ы х о з я е в а операций и приведены инструкции для

идентификации контроллера домена – мастера схемы.

2. Скопируйте с о д е р ж и м о е папки S o u r c e s A d p r e p с установочного DVD-

диска Windows Server 2008 в папку на мастере схемы.

3. Откройте окно командной строки и перейдите в папку Adprep.

4. Введите команду adprep /forestprep и нажмите клавишу Enter.

5. Если вы планируете установить контроллер R O D C в любом домене леса,

введите команду adprep /rodcprep и нажмите клавишу Enter.

ПРИМЕЧАНИЕ Команда Adprep/rodcprep

В лесу Windows 2000 Server или Windows Server 2003 также можно использовать

команду Adprep /rodcprep. Ее не нужно запускать вместе с параметром /forestprep,

но перед установкой первого контроллера RODC вы должны запустить ее и разре-

шить внести изменения в репликацию уровня леса. Команду Adprep/rodcprep можно

запустить с любого контроллера домена, если использовать учетные данные члена

группы Администраторы предприятия (Enterprise Admins).

СОВЕТ К ЭКЗАМЕНУ

Команду Adprep /rodcprep необходимо запустить перед установкой RODC в любом

домене существующего леса с контроллерами Windows Server 2003 и Windows 2000

Server. Если лес состоит только из контроллеров доменов Windows Server 2008,

в запуске этой команды нет необходимости.

Д л я в ы п о л н е н и я о п е р а ц и и потребуется некоторое время. После репли-

кации изменений во всем лесу м о ж н о продолжать подготовку доменов для

Windows Server 2008. Ч т о б ы подготовить домен Windows 2000 Server или Win-

dows Server 2003 для в к л ю ч е н и я Windows Server 2008, выполните следующие

действия.

1. Войдите на хозяин о п е р а ц и й доменной инфраструктуры как член группы

Администраторы домена ( D o m a i n Admins).

В занятии 2 представлены инструкции для определения контроллера до-

мена, который с л у ж и т хозяином операций.

2. Скопируйте содержимое папки SourcesAdprep с установочного DVD-диска

Windows Server 2008 в папку мастера инфраструктуры.

3. Откройте окно командной строки и перейдите в папку Adprep.

4. Введите команду adprep /domainprep /gpprep и нажмите клавишу Enter.

В Windows Server 2003 может появиться сообщение об ошибке, где гово-

рится о необходимости в установке обновлений. Можете проигнорировать

это сообщение.

Перед установкой к о н т р о л л е р а домена Windows Server 2008 разрешите

репликацию изменения во всем лесу.

' 476 Контроллеры домена

Установка дополнительного контроллера д о м е н а

Дополнительные контроллеры домена можно добавлять, устанавливая роль

AD DS и запуская Мастер установки доменных служб Active Directory (Active

Directory Domain Services Installation Wizard). Вам потребуется выбрать кон-

фигурацию развертывания, указать сетевые учетные данные, выбрать домен

и сайт для нового контроллера домена и отконфигурировать дополнительные

опции контроллера домена, как, например, D N S – с е р в е р ( D N S Server), Гло-

бальный каталог (Global Catalog) или Контроллер домена только для чтения

(Read-Only Domain Controller). Остальные шаги те же, как и для первого кон-

троллера домена: настройка расположения ф а й л о в и пароль администратора

режима восстановления служб каталогов ( D i r e c t o r y Services Restore Mode

Administrator).

Если в домене один контроллер и вы установите на странице Вас приветс-

твует мастер установки доменных служб Active D i r e c t o r y (Welcome То The

Active Directory Domain Services Installation W i z a r d ) ф л а ж о к Использовать

расширенный режим установки (Use Advanced M o d e Installation), то сможете

отконфигурировать следующие дополнительные параметры.

• Установка с носителя (Install F r o m M e d i a ) По у м о л ч а н и ю во время вы-

полнения мастера установки доменных служб Active Directory новый кон-

троллер домена реплицирует с других к о н т р о л л е р о в домена все данные

для всех разделов каталогов, которыми будет у п р а в л я т ь . Д л я ускорения

установки, в частности при медленных п о д к л ю ч е н и я х , м о ж н о использо-

вать установочные носители, создаваемые существующими контроллерами

домена. Установочный носитель представляет собой тип резервной копии.

Новый контроллер домена может напрямую читать данные с установочного

носителя, а затем реплицировать с других контроллеров домена только об-

новления. Опция установки с носителя I F M (Install From Media) описана

в подразделе «Установка служб AD DS с носителя».

• Исходный контроллер домеиа ( S o u r c e D o m a i n C o n t r o l l e r ) Чтобы указать

контроллер домеиа, с которого н о в ы й к о н т р о л л е р будет реплицировать

данные, выберите опцию Использовать этот контроллер домена (Use This

Specific Domain Controller).

ПРИМЕЧАНИЕ Поддержка команды Dcpromo/adv

В Windows Server 2003 команда Dcpromo /adv использовалась для указания дополни-

тельных параметров установки. Параметр /adv по-прежнему поддерживается. Прос-

то нужно предварительно установить флажок Использовать расширенный режим

установки (Use Advanced Mode Installation) на странице приветствия мастера.

Чтобы применить команду Dcpromo.exe с параметрами командной строки

для указания опций автоматизированной установки, можно использовать ми-

нимальный набор параметров, как показано в следующем примере:

dcpromo /unattend /replicaOrNewDomain:replica

/replicaDomainDNSName: contoso. com /installDNS: yes / c o n f i rmGC: yes

Занятие 1 Установка контроллеров домена 48"|

/databasePath:"e-.ntds" /logPath: "f:ntdslogs" /sysvolpath:"g:sysvor

/safeModeAdminPassword: пароль /rebootOnCompletion:yes

Если вы вошли на сервер, не используя доменную учетную запись, укажите

также параметры userdomain и username. Далее показано содержимое файла

ответов с м и н и м а л ь н ы м набором параметров для установки дополнительного

контроллера домена.

[DCINSTALL]

ReplicaOrNewDomain=replica

ReplicaDoraainDNSName=F(?DA/-H«3 присоединяемого домена

UserDomain=FO/W-HMfl домена с учетной записью пользователя

}5егКате=Д0МЕНимя_пользователя (в группе Администраторы домена)

Password -пароль пользователя, указанного в параметре UserName (• для открытия окна

ввода пароля)

InstallDNS=yes

ConfirmGC=yes

DatabasePath="nyrb к папке в локальном томе"

LogPath="nyrb к папке в локальном томе"

SYSVOLPath=" путь к папке в локальном томе"

SafeModeAdminPassword ^пароль

RebootOnCompletion=yes

Установка нового дочернего домена Windows Server 2008

Если у вас есть домен, вы можете создать новый, дочерний домен путем установ-

ки контроллера домена W i n d o w s Server 2008. Однако перед этим необходимо

запустить команду Adprep /forestprep, как описано в подразделе «Установка пер-

вого контроллера W i n d o w s Server 2008 в существующем-лесу или домене».

Затем установите с л у ж б ы AD DS, запустите Мастер установки доменных

служб Active Directory (Active Directory Domain Services Installation Wizard)

и на странице Выберите к о н ф и г у р а ц и ю развертывания (Choose A Deployment

Configuration) щелкните опцию Существующий лес (Existing Forest), а затем —

опцию Создать новый домен в существующем лесу (Create A New Domain In

An Existing Forest). Вы д о л ж н ы указать функциональный уровень домена.

Поскольку вы устанавливаете первый контроллер в домене, он не может

быть контроллером R O D C и устанавливаться с носителя. Если на странице

приветствия установить флажок Использовать расширенный режим установки

(Use Advanced Mode Installation), мастер откроет страницу Исходный контрол-

лер домеиа (Source Domain Controller), где можно указать контроллер домена,

чтобы реплицировать с него разделы конфигурации и схемы.

С помощью команды Dcpromo.exe можно создать дочерний домен с мини-

мальным набором параметров:

dcpromo /unattend /installDNS:yes

/replicaOrNewDomain:domain /newDomain:child

/ParentDomainDNSName:contoso.com

/newDomainDnsName:subsidiary.contoso.com /childName:subsidiary

/DomainNetbiosName:subsidiary

' 478 Контроллеры домена

/databasePath: "е:ntds" /logPath:"f:ntdslogs" /sysvolpath: "g:sysvol"

/safeModeAdminPassword: пароль /forestLevel:3 /domainl_evel:3

/rebootOnCompletion:yes

Следующий файл ответов содержит тот же минимальный набор параметров:

[DCINSTALL]

ReplicaOrNewDomain=domain

NewDomain=child

ParentDomainDNSName=FODA/-HMH родительского домена

UserDomain=FQDN-»fMH пользователя, указанного в параметре UserName

UserName= ДОНЕНимя_пользователя (в группе администраторов в домене,

указанного в параметре ParentDomainDNSName)

Password=nap£Wb пользователя, указанного в параметре UserName » открытия окна ввода

пароля

ChildName=npe0n/cc домена

(FODN-именем дочернего домена будет ChildName.ParentDomainDNSNaine)

DomainNetBiosName=KMB NetBIOS домена

0жаш1ече1=функциональный уровень домена (не ниже текущего уровня леса)

InstallDNS=yes

CreateDNSDelegation=yes

DNSDelegationUserName=;?0Af£//MMH пользователя с правом на создание делегирования DNS,

если оно отличается от имени в параметре UserName выше

DNSDelegationPassword=napo;ib пользователя DNSDelegationUserName'.* для открытия окна

ввода пароля

DatabasePath="nyn> к папке в локальном томе"

LogPath="nyrb к папке в локальном томе"

SYSVOLPath="nyTb к папке в локальном томе"

SafeModeAdminPassword=nap£Wb

RebootOnCompletion=yes

Установка нового доменного дерева

Как мы говорили в главе 1, в лесу Active Directory дерево состоит из одного

или нескольких доменов, которые совместно и с п о л ь з у ю т непрерывное про-

странство имен DNS. Например, домены contoso.com и sudsidiary.contoso.com

могут составлять одно дерево. Дополнительные деревья – это всего л и ш ь до-

полнительные домены, расположенные в р а з л и ч н ы х пространствах имен. На-

пример, если компания Contoso, Ltd приобретет компанию Tailspin Toys, домен

tailspintoys.com будет расположен в отдельном дереве домена. Функциональная

разница между дочерним доменом и доменом в еще одном дереве Незначитель-

на, поэтому создание нового дерева очень похоже на создание нового домена.

Во-первых, вы должны запустить команду Adprep /forestprep, как описано

в подразделе «Установка первого контроллера домена Windows Server 2008 в су-

ществующем лесу или домеНе». Затем вы можете установить службы AD DS и

запустить Мастер установки доменных служб Active Directory (Active Directory

Domain Services Installation Wizard). На странице приветствия мастера необхо-

димо установить флажок Использовать расширенный режим установки (Use

Advanced Mode Installation). На странице Выберите конфигурацию развертыва-

'Занятие 1

Установка контроллеров домена 4 7 9

ния ( C h o o s e A D e p l o y m e n t C o n f i g u r a t i o n ) щ е л к н и т е опцию Существующий лес

(Existing F o r e s t ) , з а т е м – о п ц и ю С о з д а т ь н о в ы й д о м е н в существующем лесу

( C r e a t e A N e w D o m a i n In An E x i s t i n g F o r e s t ) , а в завершение – опцию Создать

новый к о р е н ь д о м е н н о г о д е р е в а в м е с т о нового дочернего домена (Create A New

D o m a i n T r e e R o o t I n s t e a d Of A N e w C h i l d D o m a i n ) . В остальном процесс ана-

л о г и ч е н п р о ц е с с у с о з д а н и я н о в о г о д о ч е р н е г о домена.

Д а л е е п о к а з а н а к о м а н д а Dcpromo.exe с п а р а м е т р а м и д л я создания нового

дерева t a i l s p i n t o y s . c o m в л е с у c o n t o s o . c o m :

dcpromo /unattend /installDNS:yes

/replicaOrNewDomain:domain /newDomain:tree

/newDomainDnsName:tailspintoys.com /DomainNetbiosName:tailspintoys

/databasePath:"e:ntds" /logPath:"f:ntdslogs" /sysvolpath: "g: sysvol"

/.safeModeAdminPassword: пароль /domainLevel:2

/rebootOnCompletion:yes

В команде у к а з а н ф у н к ц и о н а л ь н ы й уровень домена 2 (Windows Server 2003),

т а к что этот д о м е н м о ж е т в к л ю ч а т ь к о н т р о л л е р ы W i n d o w s Server 2003. Далее

п о к а з а н ф а й л о т в е т о в а в т о м а т и з и р о в а н н о й у с т а н о в к и , к о т о р ы й создает такое

же н о в о е д е р е в о :

[DCINSTALL]

ReplicaOrNewDomain=domain

NewDomain=tree

NewDomainDNSName^FOD/V-KMfl нового домена

DomainNetBiosName=MMfl NetBIOS нового домена

UserDomain -FQDN-имя пользователя, указанного в параметре UserName

UserName= Д0МЕНимя пользователя (в группе администраторов домена,

указанного в параметре ParentDomainDNSName)

Password -пароль пользователя, указанного в параметре UserName ипи » для открытия окна

ввода пароля

I)ота1п1ече=функциональный уровень домена (не ниже текущего уровня леса)

InstallDNS=yes

ConfirmGC=yes

CreateDNSDNSDelegation=yes

• DNSDelegationUserName=y4ema« запись пользователя с правом на создание делегирования

DNS, если оно отличается от имени в параметре UserName выше

DNSDelegationPassword=napo^b пользователя DNSDelegationUserName • для открытия окна

ввода пвроля

DatabasePath="nyrb к папке в локальном томе"

LogPath="nyn> к папке в локальном томе"

SYSVOLPath="nyrb к папке в локальном томе"

SafeModeAdminPassword=77apoflb

RebootOnCompletion=yes

Промежуточная установка контроллера RODC

Как мы г о в о р и л и в г л а в е 8, к о н т р о л л е р ы д о м е н а т о л ь к о д л я чтения R O D C

предназначены д л я п о д д е р ж к и ф и л и а л о в и п р е д о с т а в л я ю т локальные возмож-

ности п р о в е р к и п о д л и н н о с т и в у з л е без н е о б х о д и м о с т и размещать контроллер

домена с правом записи в неуправляемой и н е з а щ и щ е н н о й среде. Довольно

часто в филиалах нет персонала технической поддержки IT. Как тогда создать

контроллер домена в филиале?

Для решения этой задачи в Windows Server 2008 м о ж н о создать промежу-

точную или делегированную установку R O D C . Этот процесс состоит из двух

стадий.

м Создание учетной записи для R O D C Ч л е н г р у п п ы Администраторы до-

мена (Domain Admins) создает учетную запись д л я R O D C в Active Direc-

tory. В это время задаются параметры R O D C : и мя , сайт Active Directory,

где будет создан RODC, и, опционально, пользователь или группа с правом

завершения следующего этапа установки.

• Прикрепление сервера к учетной записи R O D C После создания учетной

записи выполняется установка служб AD DS и контроллер R O D C прикреп-

ляется к домену. Эти операции могут в ы п о л н я т ь пользователи или группы,

указанные при создании учетной записи R O D C . Таким пользователям не

требуется членство в привилегированных группах. С е р в е р также может

прикрепить член группы Администраторы домена ( D o m a i n Admins) или

Администраторы предприятия ( E n t e r p r i s e Admins), однако возможность

делегировать эти задачи н е п р и в и л е г и р о в а н н о м у п о л ь з о в а т е л ю намного

упрощает развертывание контроллеров R O D C в ф и л и а л а х без поддержки

IT. Контроллер домена будет р е п л и ц и р о в а т ь свои д а н н ы е с еще одного

пишущего контроллера в домене и л и вы можете использовать метод уста-

новки с носителя IFM, описанный в подразделе «Установка служб AD DS

с носителя».

ПРИМЕЧАНИЕ Повышение ранга сервера из рабочей группы

При создании контроллера RODC с помощью промежуточной установки (прикреп-

ления RODC к промежуточной учетной записи) сервер должен быть членом рабочей

группы, а не домена, когда запускается команда Dcpromo.exe или мастер установки

доменных служб Active Directory. Мастер выполнит в домене поиск существующей

учетной записи с соответствующим именем и прикрепит к ней RODC.

Предварительное создание учетной записи для к о н т р о л л е р а R O D C

Чтобы создать учетную запись для к о н т р о л л е р а R O D C , в оснастке Active

Directory – пользователи и компьютеры (Active Directory Users And Computers)

щелкните правой кнопкой мыши подразделение Domain Controllers и приме-

ните команду Создать заранее учетную запись к о н т р о л л е р а домена только

для чтения (Pre-Create Read-Only Domain Controller Account). Запустится

мастер, очень похожий на мастер установки доменных служб Active Directory.

Вам понадобится указать имя контроллера R O D C и сайт. Вы также можете

отконфигурировать политику репликации паролей, как описано в главе 8.

На странице Делегирование установки и администрирования R O D C (Dele-

gation Of RODC Installation And Administration) можно указать один принципал

безопасности (пользователя или группу), который может прикрепить сервер

Занятие 1 Установка контроллеров домена 48"|

к учетной записи R O D C . После установки этот пользователь или группа также

получит права локального администратора R O D C . Рекомендуется делегировать

установку и администрирование группе, а не пользователю. Если вы не укажете

пользователя или группу, прикрепить сервер к учетной записи смогут только

члены групп Администраторы домена (Domain Admins) или Администраторы

предприятия (Enterprise Admins).

К СВЕДЕНИЮ Предварительное создание учетных записей RODC

Учетные записи R O D C можно предварительно создавать с помощью команды

Dcpromo.exe с многочисленными параметрами или посредством файла ответов для

команды Dcpromo.exe. Инструкции можно найти по адресу http://technet2.microsoft.

com/windowsserver2008/en/library//349e1e7-c3ce-4850-9e50-d8886c866b521033.

mspx?m/r=true.

Прикрепление с е р в е р а к у ч е т н о й записи RODC

К предварительно созданной учетной записи можно прикрепить сервер. Вы не

сможете просто запустить мастер установки доменных служб Active Directory,

для этого необходимо ввести команду dcpromo /useexistingaccount:attach. Мас-

тер потребует указать сетевые учетные данные, а затем выполнит в домене

поиск учетной записи R O D C в соответствии с указанными учетными данными.

Остальные шаги мастера практически не отличаются от стандартных операций

повышения ранга сервера до уровня контроллера домена.

В файле ответов н у ж н о указать следующие параметры и значения:

[DCINSTALL]

ReplicaDomainDNSName=FOOA/-«MH домена, к которому присоединяется сервер

UserDomain=FODAl-KMH пользователя, указанного в параметре UserName

UserName= Д0МЕНимя пользователя (в группе администраторов домена)

Passmrti=naponb пользователя, указанного в параметре UserName

InstallDNS=yes

ConfirmGC=yes

DatabasePath="nyrb к папке в локальном томе"

LogPath="лугь к папке в локальном томе"

SYSVOLPath="nyTb к папке в локальном томе"

SafeModeAdminPassword=napo.№

RebootOnCompletion=yes

Запустите команду Dcpromo с параметрами unattend:"nymb к файлу ответов"

и UseExistingAccount:Attach, как показано в следующем примере:

dcpromo /useexistingaccount:attache /unattend:"с:rodcanswer. txt"

Все параметры в приведенном выше файле ответов можно также указать

или заменить прямо в командной строке. Достаточно ввести такую команду:

dcpromo /unattend /UseExistingAccount:Attach /ReplicaDoinainDNSName:contoso.com

/UserDomain:contoso.com /UserName:contosodan /password:»

/databasePath:"e:ntds" /logPath:"f:ntdslogs" /sysvolpath:"g: sysvol"

/safeModeAdminPassword: пароль /rebootOnCompletion:yes

' 482 Контроллеры домена

Глава ю

Контрольный вопрос

• Вы администрируете домен, содержащий контроллеры Windows Server 2003.

Вам необходимо разрешить менеджеру удаленного сайта повысить ранг

рядового сервера в удаленном узле до уровня контроллера RODC. Вы не

хотите предоставлять этому менеджеру привилегии администратора домена.

Что следует предпринять вам и менеджеру?

Ответ на контрольный вопрос

• Чтобы подготовить домен к включению RODC, нужно запустить команду

Adprep /rodcprep. Затем необходимо предварительно создать учетную запись

RODC, делегировав менеджеру задачу прикрепления контроллера домена к

этой учетной записи. Чтобы прикрепить сервер к учетной записи, менеджер

запустит команду Dcpromo.exe с параметром UseExistingAccount, но перед этим

сервер должен быть удален из домена и помещен в рабочую группу.

Установка служб AD DS с носителя

При добавлении контроллеров доменов в лес данные из существующих разде-

лов каталога реплицируются на новый контроллер домена. В среде с большим

каталогом или ограничением полосы п р о п у с к а н и я ' д л я р е п л и к а ц и и между но-

вым контроллером домена и пишущим контроллером домена службы AD DS

можно установить быстрее с помощью носителя. Ч т о б ы выполнить установку

с носителя (Installation From Media, I F M ) , необходимо создать этот носитель

установки — специальную резервную копию Active Directory, которую мастер

установки доменных служб Active Directory может использовать как источник

данных для заполнения каталога нового к о н т р о л л е р а домена. Затем новый

контроллер домена реплицирует только обновления с еще одного пишущего

контроллера домена, так что при и с п о л ь з о в а н и и н е д а в н о созданного носи-

теля установки можно свести к ми н и му му р е п л и к а ц и ю нового контроллера

домена.

Помните, что на новый контроллер домена н у ж н о реплицировать не толь-

ко каталог, но и папку SYSVOL. Последнюю м о ж н о включить в создаваемый

носитель установки.

Используя установки с носителя, можно контролировать по времени влия-

ние репликации на пропускную способность сети. Например, вы можете создать

установочный носитель и в нерабочее в р е м я п е р е м е с т и т ь его в удаленный

узел, а затем в рабочее время создать контроллер домена. Поскольку носитель

установки находится в локальном узле, в л и я н и е р е п л и к а ц и и на сеть будет

меньше, а через подключение к удаленному узлу будут реплицироваться только

обновления.

Чтобы создать установочный носитель, откройте окно командной строки на

пишущем контроллере домена Windows Server 2008. Установочный носитель

обеспечивает межплатформенную совместимость. Запустите команду Ntdsutil.

ехе, а затем в командной строке ntdsutil введите команду activate instance ntds

Занятие 1

Установка контроллеров домена 48"|

и команду if т. В командной строке ifm: введите одну из' следующих команд

в зависимости от типа установочного носителя, который хотите создать.

• create sysvolfull путь Создает установочный носитель с папкой SYSVOL

для пишущего контроллера домена в папке по указанному пути.

• create full путь Создает установочный носитель без папки SYSVOL для

пишущего контроллера домена или экземпляра служб облегченного доступа

к службам каталогов (Active Directory Lightweight Directory Services, AD

LDS) в папке по указанному пути.

• create sysvol rode путь Создает установочный носитель с папкой SYSVOL

для контроллера домена л и ш ь с правом чтения ( R O D C ) в папке по указан-

ному пути.

• create rode путь Создает установочный носитель без папки SYSVOL для

контроллера домена л и ш ь с правом чтения ( R O D C ) в папке по указанному

пути.

При запуске Мастера установки доменных служб Active Directory (Active

Directory Domain Services Installation Wizard) установите на странице при-

ветствия флажок Использовать расширенный режим установки (Use Advanced

Mode Installation), чтобы позже мастер открыл страницу Установка с носителя

(Install From Media). Выберите параметр Реплицировать данные с носителя

в следующем р а с п о л о ж е н и и (Replicate Data From Media At The Following Lo-

cation). Вы можете использовать параметр установки ReplicationSourcePath

в файле ответов или команде Dcpromo.exe.

ПРИМЕЧАНИЕ

В упражнении 3 из подраздела практических упражнений в конце этого занятия

пошагово описан процесс создания установочного носителя с помощью команды

Ntdsutil.exe.

Удаление контроллера домена

Контроллер домена можно удалить с помощью команды Dcpromo.exe, запуска-

ющей мастер установки AD DS, или путем указания параметров в командной

строке или файле ответов. При удалении контроллера, подключенного к до-