部署 RODC 的步骤
更新时间: 2009年5月 应用到: Windows Server 2008
本部分包含有关部署 RODC 的信息。除了列出可选任务之外,本部分还首先列出了必须执行的高级任务。该列表后面有详细的信息,包括有关管理凭据的信息以及执行其中一些任务所需的过程。 若要部署 RODC,必须完成以下高级任务:
确保林功能级别为 Windows Server 2003 或更高版本
运行 adprep /rodcprep
如果您新建的林只有运行 Windows Server 2008 的域控制器,则没有必要执行此步骤。
安装运行 Windows Server 2008 的可写域控制器
可选:将 RODC 安装在完整安装的 Windows Server 2008 上 -或者-
可选:将 RODC 安装在服务器核心安装上
可选:委派 RODC 安装
可选:从介质安装 RODC
可选:删除运行 Windows Server 2008 的域控制器
确保林功能级别为 Windows Server 2003 或更高版本
管理凭据
任何域用户都可以验证当前的林功能级别是否是 Windows Server 2003 或更高版本。若要提升林功能级别,您必须是目录林根级域中 Domain Admins 组的成员或者 Enterprise Admins 组的成员。 确保林功能级别为 Windows Server 2003 或更高版本的步骤
1. 打开“Active Directory 域和信任关系”。
2. 在控制台树中,右键单击林的名称,然后单击“属性”。
3. 在“林功能级别”下,验证值是Windows Server 2003 还是 Windows Server 2008。
请在控制台树中,右键单击“Active Directory 域和信任关系”,然后单击“提4. 如果有必要提升林功能级别,
升林功能级别”。
5. 在“选择一个可用的林功能级别”中,单击Windows Server 2003,然后单击“提升”。
运行 adprep /rodcprep
管理凭据
此步骤更新林中所有 DNS 应用程序目录分区上的权限。这允许它们被也是 DNS 服务器的所有 RODC 成功复制。若要运行adprep /rodcprep,您必须是 Enterprise Admins 组的成员。 运行 adprep /rodcprep 的步骤
1. 以 Enterprise Admins 组成员的身份登录到域控制器。
2. 将 Windows Server 2008 安装 DVD 中 \\sources\\adprep 文件夹的内容复制到架构主机。
3. 打开命令提示符,将目录更改为 adprep 文件夹,键入以下命令,然后按 Enter:
adprep /rodcprep
安装运行 Windows Server 2008 的可写域控制器
RODC 必须从运行 Windows Server 2008 的可写域控制器复制域更新。安装 RODC 之前,确保在同一域中安装运行 Windows Server 2008 的可写域控制器。域控制器可以运行完整安装或服务器核心安装的 Windows Server 2008。在 Windows Server 2008 中,可写域控制器不需要保留主域控制器 (PDC) 仿真器操作主机角色。 有关安装运行 Windows Server 2008 的可写域控制器的详细信息以及循序渐进过程,请参阅 Windows Server 2008 Active Directory 域服务安装和删除的循序渐进指南
(http://go.microsoft.com/fwlink/?LinkId=86716)(可能为英文网页)。
可选:将 RODC 安装到完整安装的 Windows Server 2008 上
您可以将 RODC 安装到完整安装的 Windows Server 2008 上或是服务器核心安装的 Windows Server 2008 上。可以采用各种方式启动 Active Directory 域服务安装向导。有关完整列表,请参阅 Windows Server 2008 Active (可能为英文网Directory 域服务安装和删除的循序渐进指南 (http://go.microsoft.com/fwlink/?LinkId=86716)页)。
在域中安装了第一个 RODC 之后,留出足够的时间以便新的密码复制策略组复制到域中的其他域控制器,然后再尝试安装其他 RODC。这样有助于防止在安装 RODC 期间由于组在源域控制器上不可用而发生错误。 管理凭据
若要将 RODC 安装在完整安装的 Windows Server 2008 上,您必须是 Domain Admins 组的成员。
将 RODC 安装在完整安装的 Windows Server 2008 上的步骤
1. 以 Domain Admins 组成员的身份登录到服务器。
2. 单击“开始”,键入dcpromo,然后按 Enter 以启动 Active Directory 域服务安装向导。服务器可以属
于某个工作组。如果您没有委派安装,则服务器也可以加入到您希望其成为 RODC 的域中。
备注 如果您在“欢迎使用 Active Directory 域服务安装向导”页上选中了“使用高级模式安装”复选框,则可以在安装 AD DS 期间配置 RODC 的密码复制策略和其他设置。在本指南中,管理 RODC 的步骤提供了配置密码复制策略的过程。有关选中“使用高级模式安装”复选框时可以配置的设置的完整列表,请单击“高级模式安装”帮助链接。 3. 在“选择某一部署配置”页上,单击“现有林”,单击“向现有域添加域控制器”,如下图所示,然后单击“下一
步”。
4. 在“网络凭据”页上,键入计划安装 RODC 的林中域的名称。如有必要,还要键入 Domain Admins 组成
员的用户名和密码,然后单击“下一步”。
5. 为 RODC 选择域,然后单击“下一步”。
6. 单击 RODC 的 Active Directory 站点,如下图所示,然后单击“下一步”。
7. 选中“只读域控制器”复选框,如下图所示。默认情况下,“DNS 服务器”复选框也是选中的。
备注 若要在 RODC 上运行 DNS 服务器,运行 Windows Server 2008 的另一个域控制器必须正在域中运行并且承载 DNS 域区域。RODC 上的 Active Directory 集成区域始终是区域文件的一个只读副本。将更新发送到中心站点中的 DNS 服务器,而不是在 RODC 上本地进行。 8. 若要使用为 Active Directory 数据库、日志文件以及 SYSVOL 指定的默认文件夹,请单击“下一步”。
9. 键入然后确认目录服务还原模式密码,然后单击“下一步”。
10. 确认在“摘要”页上出现的信息,然后单击“下一步”以启动 AD DS 安装。您可以选中“完成后重新启动”复选
框使其余安装自动完成。
可选:将 RODC 安装在服务器核心安装上
管理凭据
这是一个可选任务。如果您选择将 RODC 安装在服务器核心安装的 Windows Server 2008 上,则您必须是 Domain Admins 组的成员或者您必须已经被委派了执行安装的能力。
若要将 RODC 安装在服务器核心安装的 Windows Server 2008 上,您必须执行 AD DS 的无人参与安装。以下过程包括在无人参与安装期间可以在答案文件中指定的参数。如果使用dcpromo /unattend命令,您还可以在命令行上指定这些参数。
有关 AD DS 的无人参与安装参数以及安装之后返回的退出代码的详细信息,请参阅 Windows Server 2008 Active (可能为英文网Directory 域服务安装和删除的循序渐进指南 (http://go.microsoft.com/fwlink/?LinkId=86716)页),这是此文档集的一部分。
将 RODC 安装在服务器核心安装的 Windows Server 2008 上的步骤
1. 安装另一台运行服务器核心安装的 Windows Server 2008 的服务器计算机。
2. 将下列答案文件设置复制到文本文件。InstallDNS、PasswordReplicationAllowed、
用您环境的正确信息替换占位符PasswordReplicationDenied 和 ReplicationSourceDC 设置是可选的。信息(为斜体)。然后用安装期间您将用于答案文件的名称保存该文本文件:
[DCInstall]
InstallDNS=Yes
ConfirmGc=No
CriticalReplicationOnly=No
DisableCancelForDnsInstall=No
PasswordReplicationAllowed=允许将其成员的密码缓存在 RODC 上的组的名称
PasswordReplicationDenied=不允许将其成员的密码缓存在 RODC 上的组的名称
Password=Domain Admin 密码
RebootOnCompletion=No
ReplicaDomainDNSName=域的 DNS 全名
ReplicaOrNewDomain=ReadOnlyReplica
ReplicationSourceDC=同一域中Windows Server 2008 域控制器的名称
SafeModeAdminPassword=选择用于目录服务还原模式的适当密码
SiteName=RODC 站点名称
UserDomain=DomainName
UserName=Domain Admin 帐户名
备注 指定为 PasswordReplicationAllowed 和 PasswordReplicationDenied 的值的组必须已经存在。您必须使用 Windows NT 格式(domain\name或domain.com\name)或使用用户主体名称 (UPN) 格式 (user_name@domain.com) 指定组。为每个附加组添加另一个条目。例如: PasswordReplicationAllowed=CN=AllowedGroup,OU=Users,DC=spruce,DC=example,DC=contoso,DC=com
PasswordReplicationAllowed=CN=AllowedGroup2,OU=Users,DC=spruce,DC=example,DC=contoso,DC=com
如果您不希望在安装期间指定任何组,请保留此条目为空白。
3. 在命令行上,键入以下命令,然后按 Enter:
dcpromo /unattend:PathToAnswerFile
可选:委派 RODC 安装
您可以执行 RODC 分步安装,该安装由两个阶段组成,分别由不同的人来完成。第一个安装阶段需要域管理凭据,此阶段在 AD DS 中为 RODC 创建一个帐户。第二个安装阶段将远程位置(如分支机构)中将要成为 RODC 的实际服务器关联到先前为其创建的帐户。您可以委派将服务器关联到远程位置中非管理组或用户帐户的功能。
在安装的第一阶段中,向导记录将存储在分布式 Active Directory 数据库中有关 RODC 的所有数据,包括只读域控制器帐户名以及它将要被放置到的站点。此阶段必须由 Domain Admins 组的成员执行。
创建 RODC 帐户的管理员也可以在此时指定哪些用户或组可以完成下一个安装阶段。只要任何用户或组在帐户创建时被委派了完成安装的权限,便可以在分支机构中执行下一个安装阶段。此阶段不要求内置组(例如 Domain Admins 组)中的任何成员身份。如果创建 RODC 帐户的用户没有指定用于完成安装(和管理 RODC)的任何委派,则只有 Domain Admins 组或 Enterprise Admins 组的成员可以完成安装。
在第二个阶段中,向导在将成为 RODC 的服务器上安装 AD DS 并将该服务器关联到先前为其创建的域帐户。此阶段通常发生在部署 RODC 的分支机构或其他远程位置。在此阶段中,所有位于本地的 AD DS 数据(例如数据库、日志文件等)都在 RODC 自身上创建。可以将安装源文件通过网络从另一个域控制器中复制到 RODC,或者您也可以使用从介质安装 (IFM) 的功能。若要使用 IFM,请使用 Ntdsutil.exe 创建安装介质。
尝试将要成为 RODC 的服务器附加到 RODC 帐户之前,它不得加入域中。作为安装过程的一部分,该向导会自动检测该服务器的名称是否与事先为该域创建的任何 RODC 帐户的名称匹配。如果向导发现匹配的帐户名称,它会提示用户使用该帐户来完成 RODC 安装。
您可以使用 Active Directory 用户和计算机管理单元创建 RODC 帐户。
备注 可以通过在命令提示符下键入dcpromo以及适当的参数或使用答案文件自动执行 RODC 的分步安装。有关自动安装的详细信息,请参阅 Windows Server 2008 Active Directory 域服务安装和删除的循序渐进指南 (http://go.microsoft.com/fwlink/?LinkId=86716)(可能为英文网页)。 使用 Windows 界面创建 RODC 帐户的步骤
1. 依次单击“开始”、“管理工具”和“Active Directory 用户和计算机”。
2. 双击域控制器,然后右键单击“域控制器”容器或单击“域控制器”容器,然后单击“操作”。
3. 单击“预创建只读域控制器帐户”,如下图所示。
4. 在“欢迎使用 Active Directory 域服务安装向导”页上,如果您想修改默认的密码复制策略,请选择“使用
高级模式安装”,然后单击“下一步”。
5. 在“网络凭据”页上的“请指定用于执行安装的帐户凭据”下,单击“我的当前登录凭据”,如下图所示,或单击
“备用凭据”,然后单击“设置”。在“Windows 安全”对话框中,提供可用来安装其他域控制器帐户的用户名和密码。若要安装其他域控制器,您必须是 Enterprise Admins 组或 Domain Admins 组的成员。提供凭据后,单击“下一步”。
6. 在“指定计算机名称”页上,键入将成为 RODC 的服务器的计算机名称。
7. 在“请选择一个站点”页上,从列表中选择站点,或在与运行该向导的计算机的 IP 地址相对应的站点中,选
择用于安装域控制器的选项,然后单击“下一步”。
8. 在“其他域控制器选项”页上,执行如下选择,如下图所示,然后单击“下一步”:
“DNS 服务器”:默认情况下选中该选项,以使您的域控制器可以用作 DNS 服务器。如果您不想将域控制器作为 DNS 服务器,请清除此复选框。但是,如果您没有在 RODC 上安装 DNS 服务器角色,并且该 RODC 是分支机构中唯一的域控制器,则分支机构中的用户将无法在中心站点的 WAN 脱机时执行名称解析。
“全局编录”:默认情况下选中该选项。它会将全局编录的只读目录分区添加到域控制器,并且将启用全局编录搜索功能。如果您不希望域控制器成为全局编录服务器,则清除该选项。但是,如果您没有在分支机构中安装全局编录服务器,或者没有为包含 RODC 的站点启用通用组成员身份缓存,则分支机构中的用户将无法在中心站点的 WAN 脱机时登录域。
“只读域控制器”。当创建 RODC 帐户时,该选项为默认选中且无法清除。
则会出现“指定密码复制策略”页。默认情况下,9. 如果您选中了“欢迎使用”页上的“使用高级模式安装”复选框,
帐户密码不会复制到 RODC,并且明确拒绝安全敏感帐户(如 Domain Admins 组的成员)在任何时候将其密码复制到 RODC。
若要接受默认设置,请单击“下一步”。
-或者-
若要向策略添加其他帐户,请单击“添加”。如果您希望允许帐户将其密码复制到 RODC,则单击“允许该帐户的密码复制到此 RODC 中”。如果您希望拒绝帐户将其密码复制到 RODC,请单击“拒绝该帐户的密码复制到此 RODC 中”。然后单击“确定”。添加完其他帐户后,单击“下一步”。
当在域中安装第一个 RODC 时,要使 RODC 起作用,需要创建域组帐户。根据您的复制拓扑,当您尝试在域中安装另一个 RODC 时,向导可能会返回一个错误,指出这些组帐户不可用。这种情况下,需等待复制完成,然后再安装其他 RODC。
有关配置密码复制策略的详细信息,请参阅管理 RODC 的步骤。
10. 在“选择用户、计算机和组”中,键入您要添加到该策略的帐户的名称,然后单击“确定”。
键入将服务器关联到正在创建的 RODC 帐户的用户或组的名称,11. 在“用于 RODC 安装和管理的委派”页上,
如下图所示。您可以只键入一个安全主体的名称。
若要在目录中搜索特定用户或组,请单击“设置”。在“选择用户、计算机或组”中,键入用户或组的名称。我们建议您将 RODC 安装和管理委派给一个组。
安装之后,该用户或组在此 RODC 上也将具有本地管理权限。如果未指定用户或组,则只有 Domain Admins 组或 Enterprise Admins 组的成员才能将服务器关联到帐户。
完成后,单击“下一步”。
12. 在“摘要”页上,检查您的选择。如有必要,请单击“上一步”更改任何选项。
若要将选择的设置保存到答案文件以便以后自动执行 AD DS 操作,请单击“导出设置”。键入答案文件名,然后单击“保存”。
确认所做选择正确无误之后,请单击“下一步”创建 RODC 帐户。
13. 在“完成 Active Directory 域服务安装向导”页上,单击“完成”。
为 RODC 创建帐户之后,您委派了 RODC 的安装和管理权限的用户或组(在前面过程中的第 11 步中)可以在将成为 RODC 的服务器上运行 Active Directory 域服务安装向导以完成 RODC 安装。启动向导之前,确保该服务器未加入域中。
使用 Windows 界面将服务器附加到 RODC 帐户的步骤
1. 以本地 Administrator 身份登录到将成为 RODC 的服务器,然后打开命令提示符。
2. 键入以下命令,然后按 Enter:
dcpromo /UseExistingAccount:Attach
3. 在“欢迎使用 Active Directory 域服务安装向导”页上,单击“下一步”,如果您想从介质安装或标识
AD DS 复制的源域控制器,则选中“使用高级模式安装”复选框。
4. 在“网络凭据”页中,在计划安装其他域控制器的林中键入任何现有域的名称,如下图所示。在“请指定用于执
行安装的帐户凭据”下,单击“备用凭据”,然后单击“设置”。在“Windows 安全”对话框中,提供创建 RODC 时委派了安装和管理 RODC 功能的帐户的用户名和密码。提供凭据后,单击“下一步”。
确认向导已经找到了与服务器名称匹配的现有 RODC 帐户,然后单击“下一步”。5. 在“选择域控制器帐户”页上,
6. 如果您选择了高级安装模式,则可以指定以下高级选项:
a. 在“从介质安装”页上,您可以提供用于创建域控制器和配置 AD DS 的安装介质的位置,也可以
选择通过网络复制所有数据。请注意,即使您选择从介质安装,也会通过网络复制某些数据。有关使用该方法安装域控制器的信息,请参阅可选:从介质安装 RODC。
b. 在“源域控制器”页上,您可以指定从中复制配置和架构目录分区(如果您未选择从介质安装,则为
整个 Active Directory 数据库)的域控制器。如果选择“此特定的域控制器”,您可以选择想要提供源复制的域控制器新建域控制器,然后单击“下一步”。
7. 在“数据库、日志文件和 SYSVOL 的位置”页上,键入或浏览到数据库文件、目录服务日志文件和系统卷
(SYSVOL) 文件的卷和文件夹位置,然后单击“下一步”。
Windows Server Backup 按卷备份目录服务。为了有效地备份和恢复,请将这些文件存储到不包含应用程序或其他非目录文件的其他卷上。
8. 在“目录服务还原模式的 Administrator 密码”页上,键入并确认还原模式密码,然后单击“下一步”。对
于必须脱机执行的任务,此密码可用于在目录服务还原模式下启动 AD DS。密码的复杂性和长度必须符合域安全策略。
9. 在“摘要”页上,检查您的选择。如有必要,请单击“上一步”更改任何选项。
若要将选择的设置保存到答案文件以便以后自动执行 AD DS 操作,请单击“导出设置”。键入答案文件名,然后单击“保存”。
确认所做选择正确无误之后,请单击“下一步”安装 AD DS。
10. 还可以选中“完成后重新启动”复选框使服务器自动重启,也可在收到系统提示后重启服务器完成对 AD DS
的安装。
可选:从介质安装 RODC
在 Windows Server 的早期版本中,鼓励管理员使用 Ntbackup.exe 创建域控制器安装介质。在 Windows Server 2008 中,鼓励管理员使用 ntdsutil.exe 创建安装介质。您可以使用 ntdsutil 中新的ifm子命令从安装介质中删除缓存的机密(如密码)以便将其用于 RODC 安装。Ntbackup.exe 无法从安装介质中删除缓存的机密。 若要从介质安装 RODC,请首先使用 Ntdsutil 创建安装介质。然后,指定适合于您所使用的安装方法的 IFM 选项,如下表中所列出。
安装方法 Active Directory 域服务安装向导 命令行安装 键入dcpromo /unattend /ReplicationSourcePath:\"到安装介质的路指定 IFM 选项所需的操作 选中“欢迎使用”页上的“使用高级模式安装”复选框(对于委派和非委派的安装)。 径\" 添加完成安装所需的其他参数。 答案文件 创建一个答案文件,该文件包含 ReplicationSourcePath=\"到安装介质的路径\" 的一个条目 在命令提示符下指定dcpromo /unattend:\"到答案文件的路径\"。 有关从介质安装的详细信息,请参阅 Windows Server 2008 Active Directory 域服务安装和删除的循序渐进指南 (http://go.microsoft.com/fwlink/?LinkId=86716)(可能为英文网页)。
可选:删除运行 Windows Server 2008 的域控制器
管理凭据
这是一个可选任务。如果您选择删除运行 Windows Server 2008 的域控制器,则您必须是 Domain Admins 组的成员。
在 Windows Server 2008 上删除域控制器的步骤
1. 将下列答案文件设置复制到文本文件。InstallDNS 和 ReplicationSourceDC 设置是可选的。用您环境的
正确信息替换占位符信息(为斜体),然后保存该文本文件:
[DCInstall]
InstallDNS=Yes
AdministratorPassword=成员服务器 Administrator 密码
RebootOnCompletion=No
UserDomain=DomainName
UserName=Domain Admin 帐户名
Password=Domain Admin 密码
ReplicationSourceDC=同一域中Windows Server 2008域控制器的名称
2. 在命令行上,键入以下命令,然后按 Enter:
dcpromo /unattend:PathToAnswerFile
因篇幅问题不能全部显示,请点此查看更多更全内容