Работа с контроллерами домена только для чтения (часть 3)
Введение
До сих пор в этой серии статей я объяснял, что такое контроллер домена только для чтения, и некоторые преимущества, связанные с его развертыванием. В этой статье я хочу показать вам, как развернуть контроллер домена только для чтения.
Прежде чем вы начнете
Прежде чем приступить к выполнению процедуры установки, необходимо установить Windows Server 2008 на контроллер домена только для чтения и присоединить сервер к домену. Технически возможно создать контроллер домена только для чтения без предварительного присоединения к домену, но шаги, которые я буду выполнять, предполагают, что ваш сервер является членом домена.
Функциональный уровень леса
Прежде чем приступить к работе, необходимо убедиться, что функциональный уровень леса установлен на Windows Server 2003 или выше. Для этого откройте консоль Active Directory Domains and Trusts. Когда консоль откроется, щелкните правой кнопкой мыши список вашего леса Active Directory, а затем выберите команду «Свойства» в появившемся контекстном меню. Как вы можете видеть на рис. A, функциональный уровень леса указан на вкладке «Общие» полученного листа свойств.
Рисунок A. Необходимо убедиться, что режим работы леса установлен на Windows Server 2003 или выше.
Если функциональный уровень леса недостаточен, вам придется повысить его, прежде чем продолжить. Имейте в виду, что это означает, что вы больше не сможете использовать контроллеры домена Windows 2000 в своем лесу. Чтобы повысить функциональный уровень леса, нажмите кнопку ОК, чтобы закрыть окно свойств. Теперь щелкните правой кнопкой мыши список своего леса еще раз и выберите в командной строке «Поднять функциональный уровень леса», на появившемся экране выберите параметр «Windows Server 2003» и нажмите кнопку «Поднять».
Обновление разделов каталога приложений
Следующим шагом в этом процессе является обновление разрешений для всех разделов каталога приложений в лесу. Таким образом, эти разделы могут быть реплицированы любым контроллером домена только для чтения, который также работает как DNS-сервер.
Для этого вставьте установочный DVD-диск Windows Server 2008 в контроллер домена, назначенный хозяином схемы домена. Затем скопируйте папку SourcesAdprep с DVD-диска в пустую папку на жестком диске сервера. Наконец, откройте окно командной строки, перейдите во вновь созданную папку ADPREP и выполните следующую команду:
ADPREP/RODCPREP
На рис. B показано, как это выглядит при выполнении этой команды.
Рисунок B: Запустите команду ADPREP /RODCPREP
Повышение роли сервера до контроллера домена
Теперь пришло время настроить наш сервер для работы в качестве контроллера домена только для чтения. На самом деле этот процесс очень похож на процесс, который вы использовали бы для настройки любого другого сервера в качестве контроллера домена.
Начните процесс, войдя на сервер, используя учетную запись, которая является членом группы администраторов домена. На этом этапе введите команду DCPROMO в командной строке сервера. Это заставит Windows запустить мастер установки доменных служб Active Directory. Мастер выполнит быструю проверку, чтобы убедиться, что двоичные файлы Active Directory установлены. Эти двоичные файлы не устанавливаются по умолчанию, поэтому мастер установит их за вас.
Когда Windows завершит установку двоичных файлов, отобразится экран приветствия мастера, показанный на рисунке C. Хотя обычно просто нажимают «Далее» и пропускают экран приветствия мастера, в этом случае вам нужно сначала установить флажок «Использовать установку в расширенном режиме»..
Рисунок C. Установите флажок «Использовать установку в расширенном режиме».
Нажмите «Далее», и мастер спросит вас о том, какой лес и домен должен обслуживать новый контроллер домена. Выберите параметр, чтобы добавить контроллер домена в существующий домен в существующем лесу, как показано на рисунке D.
Рисунок D. Выберите вариант добавления контроллера домена в существующий домен.
Нажмите «Далее», и мастер предложит вам указать имя домена, в который вы планируете добавить контроллер домена. Вы также должны подтвердить, что хотите использовать учетные данные, с которыми вы вошли в систему, при повышении статуса сервера до статуса контроллера домена, как показано на рисунке E. Когда вы закончите, нажмите «Далее».
Рисунок E. Введите имя домена, в который вы хотите добавить контроллер домена.
Следующий экран немного избыточен. Он просто попросит вас подтвердить выбор домена, как показано на рисунке F. После этого нажмите «Далее».
Рисунок F. Подтвердите домен, в который вы хотите добавить контроллер домена
Теперь вы должны увидеть экран с просьбой указать имя сайта, на котором вы хотите разместить новый контроллер домена, как показано на рисунке G. Это особенно важно для контроллеров домена только для чтения, поскольку они обычно размещаются в филиалах., которые почти всегда находятся на отдельном сайте Active Directory.
Рисунок G. Укажите сайт Active Directory, в который вы хотите поместить новый контроллер домена.
Нажмите «Далее», и вам будет предложено выбрать дополнительные параметры для контроллера домена, как показано на рисунке H. Очевидно, вы захотите выбрать параметр «Контроллер домена только для чтения», но рекомендуется также сделать контроллер домена DNS-сервером. сервер и сервер глобального каталога.
Рисунок H. Убедитесь, что выбран параметр «Контроллер домена только для чтения».
Нажмите «Далее», и вам будет предложено указать политику репликации паролей, как показано на рисунке I. Здесь вы можете контролировать, какие пароли разрешено реплицировать на контроллер домена только для чтения. Вы можете внести любые желаемые изменения, но значения по умолчанию обычно работают нормально.
Рисунок I. Обычно можно использовать настройки по умолчанию.
Нажмите «Далее», и вам будет предоставлена возможность делегировать пользователя или группу для завершения процесса установки контроллера домена только для чтения. В нашем случае вам даже не нужно беспокоиться об этой опции, потому что мы собираемся завершить процесс настройки за несколько шагов.
Следующий экран, который вы увидите, дает вам возможность либо реплицировать данные по сети с контроллера домена, либо создать базу данных Active Directory из файла. Создание базы данных Active Directory из файла удобно, если у вас большая база данных и медленное соединение. В противном случае вам следует просто реплицировать данные по сети, как показано на рисунке J.
Рисунок J. Выберите источник данных Active Directory для репликации
На следующем экране вам будет предложено выбрать партнера по репликации для контроллера домена. Обычно лучше позволить Windows выбрать партнера по репликации за вас, если только у вас нет веских причин для использования определенного контроллера домена в качестве партнера по репликации.
Когда вы нажмете «Далее», вы перейдете к той части мастера, к которой вы, вероятно, привыкли. На этом экране вас попросят указать место, где должна храниться база данных Active Directory. Сделайте свой выбор и нажмите Далее.
Теперь вам будет предложено ввести пароль режима восстановления служб каталогов. Введите пароль и нажмите Далее.
Теперь вы должны увидеть краткую информацию о выбранных вами параметрах установки. Предполагая, что все выглядит правильно, нажмите кнопку Далее, чтобы начать процесс повышения роли контроллера домена. Когда процесс завершится, нажмите «Готово» и перезагрузите сервер.
Вывод
Теперь, когда вы настроили свой первый контроллер домена только для чтения, вы можете настроить дополнительные контроллеры домена только для чтения. Если это так, вы должны дождаться завершения следующего цикла репликации. В противном случае вы можете получить ошибки Active Directory.