Instalando o RODC no Windows Server 2008

Publicado em:
02/06/2011

Fonte: https://fabiozibiani.wordpress.com

Este artigo aplica-se aos seguintes produtos e tecnologias:

  • Windows Server     2008

Introdução

Neste Artigo  irei explicar a nova função de Domain Controller no Windows Server 2008, onde temos o RODC (Read Only Domain Controller), controlador de domínio “sem poder” de escrita no Active Directory. Vamos conhecer todo processo de instalação e configuração do RODC.

1 – CONSIDERAÇÕES SOBRE O RODC

2 –  PREPARANDO A FLORESTA PARA O RODC

3 –  INSTALANDO O RODC DENTRO DA FLORESTA 2003

4 – CONCLUSÃO

1 – CONSIDERAÇÕES SOBRE O RODC

Algumas considerações tem de ser feitas sobre o RODC, abaixo descrevemos cada uma delas:

1.1   – Preparação da Floresta para o RODC

Para instalarmos o RODC o primeiro passo a ser feito e utilizar a preparação da floresta utilizando o comando demonstrado abaixo:

  • Adprep /rodcprep (Disponível no DVD de Instalação do produto)

1.2   – Domain Controller e GC em 2008:

O RODC exige que pelo menos um DC esteja em modo 2008 com Global Catalog 2008. Não é possível instalar em uma nova floresta o RODC como o primeiro DC da floresta

1.3   – Replicação de Dados :

A replicação de dados entre o RODC e o Dc da floresta conhecido como “Parent DC” pode ser escolhida, assim, você tem a possibilidade de escolher com quais DC`s você quer replicar o seu RODC.

1.4   – Cache de Password de usuários:

A função de RODC não faz cache de password por default dos usuários do domínio, porém você pode habilitar o RODC para ter os passwords dos usuários autenticados, no caso de uma falha de conexão.

O RODC possui sua própria conta KDC KrbTGT para providenciar autenticação

1.5   – Promoção de DC em RODC:

Não existe a possibilidade de você promover um DC normal em RODC, primeiro será necessário despromover o DC para promovê-lo como RODC. Os RODC`s não fazem parte dos grupos Enterprise-DC ou Domain-DC e tem permissões limitadas para gravação de dados na base do AD.

1.6   – Read Only Partial Attribute Set:

Esta Opção previne que credenciais de programas sejam gravadas dentro do RODC

2 – PREPARANDO A FLORESTA PARA O RODC

Todo o processo de instalação do RODC só é possível a partir do momento que estendemos o Schema do Active Directory, assim o domínio reconhecerá que as features do RODC poderão ser utilizadas na instalação do DC.

O Comando utilizado é ADPREP.exe /RODCPrep, segue na Figura1 abaixo:

 

Figura1 – Adprep para RODC

O resultado do comando da Figura1, vai gerar a Figura2, com os dados demonstrados da comitação de informação dentro do Schema do Active Directory.

 

Figura2 – Contexto do Adprep em Command Prompt

3 – INSTALANDO O RODC DENTRO DA FLORESTA 2003

Após esta preparação citada na Figura2, temos a oportunidade de iniciar a instalação de nosso RODC, lembrando que para isto, basta clicar em RUN dentro do menu Start e digitar o comando DCPROMO.

Em seguida aparecerá a tela da Figura3, não esqueça de marcar a opção “Use Advanced Mode Installation”, em seguida clique em Next.


Figura3 – Utilizando o modo de Instalação Avançado

Na Figura4 podemos ver a tela de Aviso de compatibilidade, vale lembrar que a leitura das informações nesta tela ressaltam a operação que esta sendo feita e suas modificações no ambiente.


Figura4– Tela de Compatibilidade

Temos agora a opção de Criarmos “um novo domínio na mesma floresta”, “Criar um novo domínio e nova Floresta”e a opção que marcaremos é “Existing Forest – Add a Domain Controller…”, assim vamos adicionar um DC dentro da mesma floresta conhecida como Shequinah.net, demonstrado na Figura6 conforme segue.


Figura5– Tela de Deploy “Existing Forest”



Figura6– Tela de verificação de domínio

Abaixo na Figura7, podemos executar a promoção com credenciais diferentes da que estamos logados.

Figura7– Alterando as credenciais para instalação

A tela da Figura8 demonstra os domínios encontrados, vamos confirmar a opção pelo domínio Shequinah.net.


Figura8– Tela de verificação de Domínios

Esta nova etapa de instalação do DC no Windows 2008, poupa trabalho e agiliza a entrada de novos DC`s nos sites ao qual eles irão gerenciar, escolha o site ao qual este DC novo irá participar na tela demonstrada na Figura9, após isto clique em Next.


Figura9– Tela de Sites and Service

A Figura10 também nos mostra outra novidade, que é a possibilidade de marcar na instalação a opção de Global Catalog e também de RODC, lembrando que a opção de RODC, apenas irá aparecer na promoção do 2º DC do domínio, para o primeiro DC do domínio a opção é desativada.


Figura10– Escolha o RODC

Ao marcarmos a opção de RODC conforme Figura10, em seguida recebemos a tela da Figura11 onde podemos sincronizar os passwords dos usuários do RODC.


Figura11– Password Replication

Na Tela da Figura12, podemos delegar o poder de instalação e de gerenciamento a um grupo específico dentro do RODC.


Figura12– Tela de Delegação de Grupos

Em muitos cenários temos o link entre as filiais de empresas com baixa velocidade, para isto a replicação na instalação de um novo DC, poderia levar horas e horas para ser finalizada, a Figura13 nos mostra a opção de instalarmos este RODC, com um backup de System State de outro DC, após a instalação o período de replicação de informações que acontece igual a Figura18, será apenas das diferenças do backup para o dia atual.


Figura13– Tela de escolha de replicação de dados

Podemos escolher com qual DC nosso RODC irá replicar e buscar a sincronização de contas e passwords, segue abaixo na Figura14.


Figura14– Tela de escolha do Parent DC

Quase ao final, marcamos o local onde serão gravados os Logs, Base e Pasta Sysvol do RODC, conforme demonstrado na Figura15.


Figura15– Tela de Diretórios de Instalação

Não podemos esquecer de documentar a Senha colocada na Figura16. Esta senha será utilizada no momento de manutenção do Active Directory ou em caso de disaster recovery.


Figura16– Tela de Directory Services Restore Mode

Ao Final verifique a opção Export Settings. Em caso de necessidade de instalação através de um Unattend Installation, basta clicar no botão Export Settings para ver o resultado de suas configurações. Segue exemplo no Quadro1.


Figura17– Tela Summary com resumo de opções

Na Figura18 a replicação do Active Directory esta sendo feita, caso tenha optado por fazer uma instalação baseada em Backup do System State, neste momento o Wizard apenas sincronizará a diferença do NTDS entre o Backup e o dia atual.


Figura18– Tela de replicação entre o RODC e o Parent DC

Quadro1 –  Configurações Unattend para RODC

; DCPROMO unattend file (automatically generated  by dcpromo)

; Usage:  dcpromo.exe  /unattend:C:\Users\Administrator\Desktop\RODC – Unnatend.txt

; You may need to fill in password fields prior to  using the unattend file,  If you leave the values for “Password”  and/or “DNSDelegationPassword”

; as “*”, then you will be asked for  credentials at runtime.

[DCInstall]

; Read-Only Replica DC promotion

ReplicaOrNewDomain=ReadOnlyReplica

ReplicaDomainDNSName=shequinah.net

; RODC Password Replication Policy

PasswordReplicationDenied=”BUILTIN\Administrators”

PasswordReplicationDenied=”BUILTIN\Server  Operators”

PasswordReplicationDenied=”BUILTIN\Backup  Operators”

PasswordReplicationDenied=”BUILTIN\Account  Operators”

PasswordReplicationDenied=”SHEQUINAH\Denied  RODC Password Replication Group”

PasswordReplicationAllowed=”SHEQUINAH\Allowed  RODC Password Replication Group”

PasswordReplicationAllowed=”SHEQUINAH\RODC-Site1″

DelegatedAdmin=”SHEQUINAH\G-RODC-Site1″

SiteName=Default-First-Site-Name

InstallDNS=Yes

ConfirmGc=Yes

CreateDNSDelegation=No

UserDomain=shequinah.net

UserName=shequinah.net\administrator

Password=*

ReplicationSourceDC=DC01.shequinah.net

DatabasePath=”C:\Windows\NTDS”

LogPath=”C:\Windows\NTDS”

SYSVOLPath=”C:\Windows\SYSVOL”

; Set SafeModeAdminPassword to the correct value  prior to using the unattend file

SafeModeAdminPassword=

; Run-time flags (optional)

;  CriticalReplicationOnly=Yes

;  RebootOnCompletion=Yes

Quadro1 – Unattend File para Instalação de um RODC

Basta clicar em “Finish”conforme imagem da Figura19 para que o seu RODC entre em atividade no seu domínio, em seguida confirme para reiniciar conforme a Figura20, após o boot o RODC estará pronto para ser utilizado.


Figura19– Finalizando a instalação


Figura20– Finalizando a instalação

4 – CONCLUSÃO

Neste tutorial aprendemos o que é o RODC e também todos os processos desde a preparação do ambiente até o momento de instalação do RODC, vale ressaltar também que todo RODC, tem poder de escrita limitado no Active Directory e não é um novo tipo de BDC (Backup Domain Controller).

Espero ter ajudado a entender o processo.

[  ]’s

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s