Як встановити контролер домену для читання rodc active directory в windows server 2018 r2,
Для чого потрібен контролер домену тільки для читання?
Найчастішою причиною розгортання контролера домену тільки для читання є недостатній рівень фізичної безпеки. Контролер домену тільки для читання можна більш безпечно розгорнути в тих місцях, де необхідні швидкодіючі надійні служби перевірки автентичності, але неможливо гарантувати фізичну безпеку контролера домену, доступного для запису.
Підготовка до розгортання
Попередні вимоги до розгортання контролера домену тільки для читання вказані нижче.
Для кого призначена ця можливість
Контролер домену тільки для читання призначений переважно для розгортання в віддалених середовищах і в філіях. Для філій зазвичай характерні наступні особливості:
- порівняно невелика кількість користувачів;
- низький рівень фізичної безпеки;
- порівняно низька пропускна здатність з'єднання з вузловим сайтом;
- погане знання інформаційних технологій співробітниками.
Уявімо, що у вас є два сайти AD і два офіси, головний і філія, і в філії планується установка RODC.
Бачимо, що у нас є контролер домену rodc.msk.pyatilistnik.org
Запускаємо майстер установки доменних служб Active Directory, у пуску пишемо dcpromo.
У вікні майстра, тиснемо далі, але якщо потрібно використовувати завантажувальний носій IFM. то вибираємо розширений режим.
Вибираємо існуючий ліс, Додати контролер домену в існуючий ліс.
Вибираємо ім'я домену та облікові дані у яких є права на установку.
Я вказую дані адміністратора домену.
Вибираємо домен для додавання DC.
Вказуємо сайт AD, у мене один але в ідеалі у вас у кожного філії повинен бути свій сайт.
Знімаємо галку Глобальний каталог і ставимо RODC.
Тепер нам потрібно вказати користувача або групу хто матиме права локального адміністратора на RODC,
Я для цього в ADUC створюю групу безпеки під ім'ям Rodc_admin
Задаємо цю групу
Задаємо місце зберігання каталогів і БД
Задаємо пароль адміністратора відновлення каталогів
Дивимося зведені дані і тиснемо далі.
Розпочнеться установка поставте галку перезавантаження, для автоматичної перезавантаження.
Після перезавантаження заходимо на який пише контролер і відкриваємо Active Directory Користувачі і комп'ютери відкриваємо контейнер Domain Controllers і бачимо наш RODC.
