Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Контроллер домена для чтения

Как установить контроллер домена для чтения RODC Active Directory в Windows Server 2008 R2

Как установить контроллер домена для чтения RODC Active Directory в Windows Server 2008 R2

Всем привет сегодня я хочу рассказать что такое RODC и как установить контроллер домена для чтения RODC Active Directory в Windows Server 2008 R2. Контроллеры домена только для чтения (RODC) – новый тип контроллеров домена в операционной системе Windows Server 2008. Используя контроллер домена только для чтения, организации могут легко развернуть контроллер домена в местах, где невозможно гарантировать физическую безопасность. На контроллере домена только для чтения размещаются разделы базы данных доменных служб Active Directory, доступные только для чтения.

Для чего нужен контроллер домена только для чтения?

Самой частой причиной развертывания контроллера домена только для чтения является недостаточный уровень физической безопасности. Контроллер домена только для чтения можно более безопасно развернуть в тех местах, где необходимы быстродействующие надежные службы проверки подлинности, но невозможно гарантировать физическую безопасность контроллера домена, доступного для записи.

Подготовка к развертыванию

Предварительные требования к развертыванию контроллера домена только для чтения указаны ниже.

  • Контроллер домена только для чтения должен перенаправлять запросы проверки подлинности доступному для записи контроллеру домена с ОС Windows Server 2008. На этом контроллере домена должна быть задана политика репликации паролей, определяющая необходимость репликации учетных данных в филиале для перенаправленных запросов от контроллера домена только для чтения.
  • Домен должен работать в режиме Windows Server 2003 или более высоком, чтобы можно было использовать ограниченное делегирование Kerberos. Ограниченное делегирование используется для обработки вызовов безопасности, которые должны олицетворяться в контексте вызывающей стороны.
  • Лес должен работать в режиме Windows Server 2003 или более высоком, чтобы можно было использовать репликацию связанного значения. Это обеспечивает более высокую согласованность репликации.
  • В лесу необходимо однократно выполнить команду adprep /rodcprep для обновления разрешений во всех разделах каталога приложений DNS в лесу. Это позволяет всем контроллерам домена только для чтения, которые также являются DNS-серверами, успешно реплицировать разрешения.

Для кого предназначена эта возможность

Контроллер домена только для чтения предназначен преимущественно для развертывания в удаленных средах и в филиалах. Для филиалов обычно характерны следующие особенности:

  • сравнительно небольшое количество пользователей;
  • низкий уровень физической безопасности;
  • сравнительно низкая пропускная способность соединения с узловым сайтом;
  • плохое знание информационных технологий сотрудниками.

Представим, что у вас есть два сайта AD и два офиса, главный и филиал, и в филиале планируется установка RODC.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-00

Видим, что у нас есть контроллер домена rodc.msk.pyatilistnik.org

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-01

Запускаем мастер установки доменных служб Active Directory, в пуске пишем dcpromo.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-002

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-003

В открывшемся окне мастера, жмем далее, но если нужно использовать загрузочный носитель IFM, то выбираем расширенный режим.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-004

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-005

Выбираем существующий лес, Добавить контроллер домена в существующий лес.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-006

Выбираем имя домена и учетные данные у которых есть права на установку.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-007

Я указываю данные администратора домена.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-008

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-009

Выбираем домен для добавления DC.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-010

Указываем сайт AD, у меня один но в идеале у вас у каждого филиала должен быть свой сайт.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-011

Снимаем галку Глобальный каталог и ставим RODC.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-012

Теперь нам нужно указать пользователя или группу кто будет иметь права локального администратора на RODC,

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-013

Я для этого в ADUC создаю группу безопасности под именем Rodc_admin

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-14

Задаем эту группу

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-15

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-16

Задаем место хранения каталогов и БД

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-17

Задаем пароль администратора восстановления каталогов

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-18

Смотрим сводные данные и жмем далее.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-19

Начнется установка поставьте галку перезагрузка, для автоматической перезагрузки.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-20

После перезагрузки заходим на пишущий контроллер и открываем Active Directory Пользователи и компьютеры открываем контейнер Domain Controllers и видим наш RODC.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-21

Вот так вот просто установить контроллер домена для чтения RODC Windows Server 2008 R2. Далее читайте базовая настройка контроллера домена для чтения RODC Windows Server 2008 R2.

Работа с контроллерами домена, доступными только для чтения (часть 3)

Итак, в этом цикле статей я уже объяснил, что собой представляют контроллеры домена – только чтение, а также некоторые преимущества их использования. В этой части я покажу вам, как устанавливать контроллеры домена Read Only Domain Controller (RODC).

Читать еще:  Как поменять домен почтового ящика

Прежде чем начать

Прежде чем мы начнем с процедурами установки, необходимо установить Windows Server 2008 на свой контроллер домена – только чтение и присоединить этот сервер к домену. Технически можно создать контроллер домена RODC без подключения этого сервера к домену, однако описываемые здесь шаги предполагают, что сервер входит в состав домена.

Функциональный уровень леса

Прежде чем приступать, необходимо убедиться в том, что функциональный уровень леса задан для Windows Server 2003 или более поздней версии. Для этого открываем консоль Active Directory Domains and Trusts. Когда консоль откроется, нажмите правой клавишей на списке лесов Active Directory, а затем выберите команду Свойства из появившегося контекстного меню. Как показано на рисунке A, функциональный уровень леса перечислен на странице свойств в закладке Общие.

Рисунок A: Необходимо убедиться, что функциональный уровень имеет значение Windows Server 2003 или более поздней версии

Если функциональный уровень леса недостаточен, вам придется поднять его, прежде чем продолжать. При этом следует учитывать, что вы больше не сможете использовать контроллеры домена под управлением Windows 2000 в своем лесу. Чтобы поднять функциональный уровень леса, нажмите OK для закрытия страницы свойств. Теперь нажмите правой клавишей на списке своего леса еще раз и выберите опцию «Поднять функциональный уровень (Raise Forest Functional level) из появившегося контекстного меню. На открывшейся странице выберите опцию Windows Server 2003, а затем нажмите кнопку Поднять (Raise).

Обновление разделов каталога приложений (Application Directory Partitions)

Следующим шагом в этом процессе будет обновление разрешений для всех разделов каталога приложений в лесу. Таким образом, эти разделы смогут реплицироваться любым контроллером домена – только чтение, также работающим в качестве DNS сервера.

Для этого вставляем установочный диск Windows Server 2008 в привод машины контроллера домена, который был настроен в качестве мастера схемы домена. Затем копируем папку SourcesAdprep с DVD в любую папку на жестком диске сервера. Наконец, открываем окно интерпретатора команд и переходим к только что созданной папке ADPREP, а затем выполняем следующую команду:

На рисунке B показано, как выглядит экран, когда команда запущена.

Рисунок B: Выполнение команды ADPREP /RODCPREP

Делаем сервер контроллером домена

Теперь пришло время настроить наши серверы в качестве контролеров домена – только чтение. Это процесс, на самом деле, довольно похож на процесс, который обычно используется для настройки любых других серверов на работу в качестве контроллеров домена.

Сначала входим в систему сервера от имени учетной записи, принадлежащей к группе администраторов домена (Domain Admins). На данном этапе вводим команду DCPROMO в текстовое поле Выполнить. В результате Windows запустит мастера установки служб домена Active Directory Domain Services Installation Wizard. Этот мастер быстро выполнит проверку, чтобы убедиться, что все необходимее исполняемые файлы Active Directory установлены. Эти исполняемые файлы не устанавливаются по умолчанию, поэтому мастер сделает это самостоятельно.

По завершении установки эти исполняемых файлов Windows отобразит приветственную страницу мастера, как показано на рисунке C. Хотя обычно эта страница пропускается, в данном случае вам нужно отметить на этой странице опцию Использовать расширенный способ установки (Use Advanced Mode Installation).

Рисунок C: Выбор опции расширенного способа установки

Нажмите Далее, и мастер задаст вам вопрос о том, какой лес и домен будет обслуживать новый контроллер домена. Выберите опцию для добавления контроллера домена к существующему домену в существующем лесу, как показано на рисунке D.

Рисунок D: Выберите опцию добавления контроллера домена в существующий домен

Нажмите Далее, и мастер попросит вас указать имя домена, к которому вы планируете добавить контроллер домена. Также нужно подтвердить, что вы хотите использовать те же учетные данные, под которыми вы вошли, когда давали серверу статус контроллера домена, как показано на рисунке E. Когда все готово, нажмите Далее.

Рисунок E: Введите имя домена, к которому хотите добавить этот контроллер

Следующий рисунок немного лишний. В этом окне мастер просто просит подтвердить выбор домена, как показано на рисунке F. После этого нажимаем Далее.

Рисунок F: Подтверждение выбранного домена

Теперь у вас должна открыться страница, на которой мастер просит указать имя сайта, на котором вы хотите разместить новый контроллер домена, как показано на рисунке G. Это особенно важно для контроллеров домена RODC, поскольку они обычно размещаются в офисах филиалов, которые почти всегда расположены на отдельном сайте Active Directory.

Рисунок G: Укажите сайт Active Directory, на котором будет размещен новый контроллер домена

Нажмите Далее, и мастер попросит вас выбрать дополнительные опции для контроллера домена, как показано на рисунке H. Здесь нужно выбрать опцию Read Only Domain Controller, но также будет хорошей мыслью сделать контроллер домена сервером DNS и сервером глобальных каталогов.

Рисунок H: Обязательно выберите опцию Read Only Domain Controller

Нажмите Далее, где вам нужно будет определить политику репликации паролей, как показано на рисунке I. Именно здесь вы контролируете то, какие пароли разрешены для копирования на Read Only Domain Controller. Здесь можно внести любые нужные вам изменения, но, как правило, умолчания отлично работают.

Рисунок I: Стандартные параметры отлично работают

Нажмите Далее, и вам будет дана возможность назначить пользователя или группу для завершения процесса установки RODC. В нашем случае не нужно об этом беспокоиться, поскольку мы завершим процесс установки через пару шагов.

На следующей странице вам даются на выбор опции репликации данных по сети с контроллера домена или создания базы данных Active Directory из файла. Создание базы данных Active Directory из файла очень удобно, если у вас есть большая база данных и низкоскоростное подключение. В противном случае вы можете просто реплицировать данные по сети, как показано на рисунке J.

Рисунок J: Выбор источника репликации данных Active Directory

Читать еще:  Подключение к домену

На следующей странице вам нужно выбрать партнера репликации для контроллера домена. Лучшим вариантом является позволение Windows выбрать партнера репликации вместо вас, если только у вас нет веской причины указывать определенный контроллер домена в качестве партнера репликации.

После нажатия Далее, вы попадете в раздел мастера, с которым вы уже, вероятно, знакомы. На этой странице вам нужно указать место, где будет храниться база данных Active Directory. Выберите его и нажмите Далее.

Теперь мастер попросит вас ввести пароль Directory Services Restore Mode. Введите пароль и нажмите Далее.

После этого вы увидите краткую информацию о выбранных вами опциях установки. Если все правильно, нажмите Далее, чтобы начать процесс установки контроллера домена. По завершении процесса установки нажмите Завершить и перезагрузите сервер.

Заключение

Теперь, когда вы установили свой первый RODC, вы, возможно, захотите установить еще RODC. Если так, вам нужно подождать, пока следующий цикл репликации закончится. В противном случае вы можете получить ошибки Active Directory.

Что собой представляет контроллер домена, доступный только для чтения (RODC)?

RODC — новый режим контроллера домена (DC) в Windows Server 2008. На таком DC можно сохранить экземпляр базы данных домена Active Directory (AD), доступный только для чтения, но его функциональность гораздо шире, чем у простого экземпляра базы данных, пригодного только для чтения. Основные функции RODC:

В. Что собой представляет контроллер домена, доступный только для чтения (RODC)?

О.

  • База данных AD Domain Services (AD DS) только для чтения. Приложения, которым нужен доступ только для чтения базы данных, могут использовать RODC; но все изменения необходимо выполнять на DC с возможностью чтения и записи (RWDC), а затем реплицировать на RODC.
  • Односторонняя репликация. Из RODC нельзя распространить ложные данные по остальному домену, даже если изменение сделано на RODC. Таким образом снижается опасность атаки против всей системы и сложность структуры репликации.
  • Конфигурация с набором фильтрованных атрибутов. Набор фильтрованных атрибутов не реплицируется ни на один RODC в лесе. Если RODC скомпрометирован и набор изменен, то в отличие от Windows Server 2003 DC, Server 2008 RWDC не реплицирует значения. Если возможно, лучше установить функциональный уровень леса Server 2008, запретив использование серверов Server 2003 в лесе, где они могут испортить данные. Кроме того, важно отметить, что нельзя добавлять критические системные атрибуты в набор фильтрованных атрибутов RODC.
  • Ограниченное кэширование учетных данных. RODC не хранит учетные данные пользователя или компьютера (за исключением учетной записи компьютера RODC). Получая запрос проверки подлинности, RODC передает его в RWDC. Затем RODC запрашивает копию учетных данных, чтобы в будущем самостоятельно обслуживать запрос. Если политика репликации пароля допускает кэширование учетных данных, то они будут записаны в кэш, и RODC сможет обслуживать запросы на регистрацию (пока учетные данные не изменятся).
  • Отделение возможностей администратора. RODC может назначать пользователей администраторами сервера, не предоставляя им прав в домене или на других DC.
  • DNS только для чтения. RODC DNS не позволяет обновлять клиентов и не регистрирует записи ресурсов имени службы.
  • Двухэтапная установка RODC. Первый этап установки выполняется администратором с учетными данными. Он создает учетную запись AD DS для RODC со всей информацией распределенной базы данных AD, в том числе именем учетной записи DC и местонахождением сайта. Затем администратор может указать пользователей и группы, которые могут выполнить второй этап установки, обычно удаленно. На втором этапе AD DS устанавливается на RODC, и учетная запись AD DS привязывается к серверу.

RODC может реплицировать данные только с Windows Server 2008 RWDC, поэтому репликация из контроллеров домена Windows Server 2003 и других Windows Server 2008 RODC невозможна.

Поделитесь материалом с коллегами и друзьями

Обнаружение контроллера домена только для чтения с помощью .NET?

Я хочу иметь возможность определить, является ли конкретный контроллер домена доступен только для чтения. Я знаю, что могу делать такие вещи, чтобы получить записываемый DC:

Но, учитывая объект DomainController, есть ли способ определить, можно ли записать этот DC?

Причина, по которой я спрашиваю, заключается в том, что я хочу попытаться выбрать предпочтительный контроллер домена, который равен 1. Пишется 2. В моем сайте и 3. глобальный каталог. Кажется, что нет хорошего способа найти сервер со всеми этими атрибутами.

2 Ответа

Одно из отличий между контроллерами домена только для чтения и для записи состоит в том, что все контроллеры домена только для чтения имеют атрибут primaryGroupID , равный 521 (который является RID для встроенной группы «Read-only Domain Controllers» в Active Directory). Контроллеры домена с возможностью записи имеют значение primaryGroupID , равное 516 (группа «Domain Controllers»).

Основная группа для контроллера домена только для чтения не может быть легко изменена (Active Directory не позволит этого), поэтому вы должны быть уверены, что все RODC:s имеют этот атрибут равным 521.

Это не очень элегантно, но . ..

Если у вас есть объект DomainController, вы можете сделать это:

Это должно определить, является ли конкретный контроллер домена доступным для записи.

Похожие вопросы:

Как сохранить файл .xlsm в формате только для чтения на общем диске с помощью кода .Net. Когда я открываю его, он отображается только для чтения. Но после сохранения, когда я открываю, я смог.

Есть ли какие-либо библиотеки (третья сторона в порядке), которые могут помочь сделать автоматическое обнаружение сети с помощью SNMP и .NET? Если нет,вы когда-нибудь катали свой собственный?

Как получить адрес контроллера домена IP программно с помощью C# ?

Как очистить флаг только для чтения в файле .NET и оставить rest нетронутым ?

Я посмотрел на параметры подключения MySql , и, похоже, его там нет. Есть ли способ создать соединение только для чтения / команду для .NET? С помощью SQLite я мог бы указать read only=true , чтобы.

Читать еще:  Доверие между доменами

Active Directory (AD DS) имеет понятие контроллеры домена только для чтения (RODC). Вероятно, для обратной совместимости по умолчанию контроллеры домена только для чтения игнорируются: необходимо.

Как сохранить файл только для чтения с помощью диалогового окна загрузки файла в c#.net. Я должен выбрать файл в папке temp и сохранить его с помощью диалогового окна загрузки файла только для.

Мне нужно, чтобы мой textbox был доступен только для чтения. Однако, когда я устанавливаю IsReadOnly в true , то пользователь больше не может взаимодействовать с textbox с помощью клавиатуры, так.

Я ищу команду для остановки контроллера домена / хоста для eap7, но не смог найти ответа, есть ли какая-либо командная строка за пределами kill для нее? С уважением Lan

У меня есть тесты на основе времени для запуска, которые требуют многократного изменения системного времени во время теста. Я хочу иметь возможность повторно синхронизировать время со временем.

Развертывание контроллера домена с помощью Install From Media (IFM)

Рассмотрим следующую ситуацию: в вашей компании имеется удаленный филиал. В филиале вы планируете установить новый дополнительный контроллер домена. Канал передачи между головным офисом и филиалом не очень скоростной и производительный. Соответственно, скорость передачи данных между двумя контроллерами будет достаточно низкая. А теперь вспомните тот факт, что размер файл Active Directory (ntds.dit) нередко имеет бывает очень большим(порядка нескольких десятков Гб).

Если вы устанавливаете дополнительный контроллер домена в Active Directory в филиале классическим способом, то представьте сколько времени (часов или дней) потребуется для завершения синхронизации нового DC.

По этой причине Microsoft предлагает разворачивать DC используя метод установки нового DC с носителя – Install From Media (IFM). Таким образом, существенно сокращается время необходимое на репликацию.

Фактически, создается отдельный файл с данными Active Directory. Сначала данные существующего контроллера домена (DC головного офиса) экспортируются в файл, затем данный файл на носителе (защищенном диске или флешке), передается в филиал, а затем происходит импорт этих данных в новый DC (DC филиала). Таким образом, потребуется только синхронизировать изменения, которые были внесены за время экспорта данных с первичного DC.

Прежде чем приступить к процессу установки нового DC используя метод установки с носителя (IFM), вам необходимо знать и учитывать основные особенности:

  • Метод IFM нельзя использовать для первоначальной установки DC
  • Метод IFM применяется для DC находящихся в одном домене AD
  • Для использования медиа файла (media file) оба DC должны серверами глобального каталога Global Catalog (GC)
  • Если вы разворачиваете RODC (Read Only Domain Controller), media file создается из существующего DC (обычный RW контроллер домена), либо из существующего RODC
  • При использовании метода IFM создается временная базы данных в каталоге %TMP%, поэтому следует заранее освободить достаточное количество свободного места на диске

Используя Windows Server 2016 и утилиту NTDSUtil.exe, вы можете создать два типа файла-носителя: полный (записываемый) DC или RODC. Следует знать, что в Windows Server 2008 R2 есть еще два варианта: полноценный DC с SYSVOL и RODC с SYSVOL.

Установка Active Directory при помощи метода Install From Media (IFM)

Как вы, уже поняли, процесс выполняется в два основных этапа:

Первый выполняется на существующем контроллере домена, на котором нужно будет экспортировать базу AD в media file

Второй выполняется на новом DC или RODC.

На имеющемся контроллере домена

Для создания медиа файл носителя мы воспользуемся консольной утилитой NTDSUtil. Все доступные параметры команд, можно увидеть, дописав в командной строке опцию help.

Откройте командную строку с правами администратора, затем введите команду ntdsutil и нажмите Enter.

Далее ввести команду activate instance ntds .

После этого необходимо ввести IFM .

Чтобы создать media file для DC, введите create full

Чтобы создать media file для RODC, введите create rodc

Чтобы создать media file с SYSVOL, введите create sysvol full

Чтобы создать носитель с SYSVOL для RODC, введите create sysvol rodc

Где это путь до каталога, в котором будет создан media файл.

Как вы видите, будет создан снаншот базы AD в файлы ntds.dit и скопирован в указанный каталог. После того, как файл будет создан и записан в указанный ранее каталог появиться сообщение: «IFM media created successfully in….»

Для завершения работы утилиты NTDSUtil вводим команду quit и нажимаем «Enter».

После этого перейдите в каталог IFM и убедитесь, что все файлы были успешно созданы.

Затем скопируйте данный каталог на любой носитель (диск, USB флешку и т.д).

На новом контроллере домена

Убедитесь, что съемный диск содержащий media file подключен к серверу, или media file был скопирован в локальную (сетевую) папку.

Далее, необходимо установить роль Active Directory Domain Services. Сделать это можно при помощи Server Manager либо в PowerShell.

Давайте сразу перейдем к окну «Active Directory Domain Services Configuration Wizard». В этом окне вам необходимо выбрать пункт «Add a domain controller to an existing domain», так как новый DC должен находиться в том же домене где и старый, с которого вы экспортировали данные.

Когда вы перейдете к «Deployment Configuration Wizard», в разделе «Additional Options» поставьте галочку напротив «Install from media» и выберите каталог, в котором расположен media file. Для проверки нажмите кнопку «Verify». Если файл отсутствует или поврежден система выдаст предупреждение.

В разделе «Review Options» вы увидите указанный каталог.

Затем, завершите работу мастера и после перезагрузки системы процесс создания нового контроллера домена будет почти завершен. Теперь остается только реплицировать объекты, которые были изменены с момента создания файла.

Хочу заметить, что не следует затягивать процесс импорта данных в новый контроллер домена более чем на 30 дней с момента создания файла.

Ссылка на основную публикацию
Adblock
detector