Вторник, 04 июня 2013 12:32

Установка RODC

Оцените материал
(2 голосов)

RODC (Read-Only Domain Controller)- тип контроллера домена, появившийся в Windows Server 2008, предназначенный для установки в офисы где не гарантируется физическая сохранность контроллера домена. Основной задачей RODC является улучшение безопасности в офисах филиалов компании, поскольку контроллер RODC поддерживает копию всех объектов в домене и всех атрибутов, кроме паролей пользователей. Если контроллер RODC будет похищен, злоумышленники кроме как физического железа ни чего не получат, в частности- список паролей будет не доступен, и за сохранность домена можно не переживать.

Процесс установки RODC зависит от уровня функционирования леса (для уровня Windows Server 2000 установка RODC не предусмотренна)

Условия установки RODC в домене с функциональным уровнем Windows Server 2003

- Перед установкой запустить команду adprep/rodcprep;

- Один из контроллеров в домене должен быть Windows Server 2008;

- После этого можно приступить к установке RODC.

Условия установки RODC в домене с функциональным уровнем Windows Server 2008

- Можно сразу приступить к установке RODC

Установка контроллера домена RODC.

Рассмотрим процесс установки RODC более подробно в функциональном уровне леса Windows Server 2008 (2008 R2)

Перед установкой роли RODC необходимо проделать следующие шаги (более подробно описано в статье "Установка роли контролера домена на Windows Server 2008/ 2008 R2 ":

- Установить обновление на Windows Server 2008 (2008 R2);

- Установить необходимый часовой пояс;

- Изменить имя компьютера (если вас не устраивает нынешнее);

- Настроить сетевую конфигурацию.

Следующим шагом приступаем к разворачиванию роли контроллера домен на сервере, для этого запускаем «Диспетчер сервера- Роли» , нажимаем «Добавить роли».

Читаем информационное окно и нажимаем «Далее».

В окне Выбора ролей сервера ставим галочку напротив «Доменные службы Active Directory», появится окно о установки дополнительных компонентов, нажимаем «Добавить необходимые компоненты».


Читаем информационное окно и нажимаем «Далее».

В окне Подтверждения, утверждаем свой выбор и нажимаем «Установить».

После этого будет происходить установка ролей. По окончании, если все прошло успешно, увидите окно с подтверждением успешной установки, нажимаете «Закрыть».

На этом процесс установки контроллера домена не закончен, теперь необходимо, как и на Windows Server 2003, запустить команду DCPROMO. Для этого нажимаем «Пуск» и в строке поиска пишем  DCPROMO и нажимаем «Enter».

Откроется мастер установки доменных служб AD, нажимаем «Далее».

Читаем очередное информационное окно и нажимаем «Далее».

Поскольку мы настраиваем второй домен в лесу, в окне выбора конфигурации развертывания, выбираем «Существующий лес- Добавить контроллер домена в существующий лес».

После этого указываем имя корневого домена леса и прописываем логин и пароль.

Выбираем домен для данного добавочного контроллера домена.

Следующим шагом выбираем сайт.


 Выбираем дополнительные параметры для контроллера. Обратите внимание, что именно на этом шаге необходимо указать, что данный контроллер домена RODC.

Задаем, если это необходимо пользователя или группу, которая будет иметь права для администрирования RODC


В следующем окне можно изменить расположение баз данных, файлов журнала и папки Sysvol. Эти файлы лучше всего хранить в трех отдельных папках, где нет приложений и других файлов, которые не связанны с AD, благодаря этому повыситься производительность, а также эффективность архивации и восстановления. Поэтому не рекомендую менять пути, оставить все как есть и нажать кнопку «Далее».

Следующим шагом необходимо ввести пароль администратора для запуска режима восстановления. Поскольку при установке на сервер роли контроллера домена такое понятие как локальный администратор теряет всякий смысл.


В следующем окне проверяем все настройки и если все указано верно нажимаем «Далее».

Начнется установка первого контроллера домена в лесу. Процесс может занять 10-20 мин. Рекомендую установить галочку "Перезагрузить по завершении".

После перезагрузки сервера, процесс настройки первого контроллера домена можно считать оконченной.

Поскольку, как я писал выше, RODC не сохраняет у себя пароли и постоянно подключается к другому контроллеру домена, может возникнуть ситуация, когда связь между RODC и DC будет не доступна и пользователи не смогут даже залогинится в под своими учетными записями на компьютер, для этих целей для пользователей работающих в сети с RODC, можно включить кеширование паролей, таким образом для них обрыв связи RODC с DC будет незаметным. Обратите внимание, для повышения безопасности RODC не должен кешировать пароли привелигерованных пользователей и групп (доменных администраторов, администраторов схемы и т.д.)

Для того что бы добавить пользователей в сохранение паролей на RODC необходимо зайти в  оснастку "Active Directory — Пользователи и компьютеры", выбрать группу "Domain Controllers" найти название сервера RODC, нажать правой кнопкой мыши на нем и выбрать пункт "Свойства".

В окне свойств заходим во вкладку "Политика репликации паролей" и видим, что существующая группа "Группа с разрешением репликации паролей RODC" разрешает сохранять пароли пользователей, таки образом можно включить в нее необходимых пользователей или группу, а можно явным образом указать необходимых пользователей или группы с состояние "Разрешить".

Из-за ограниченности возможностей RODC рекомендую использовать его только в случае возможной кражи или общедоступности контроллера домена.

Я очень надеюсь, моя статья помогла Вам! Просьба поделиться ссылкой с друзьями:


Комментарии  

+1 # Виталий1988 27.11.2016 21:27
Спасибо
Ответить
+4 # Nami 27.09.2015 15:42
Очень помогла, спасибо =)
Ответить

Добавить комментарий