Εφ’ όσον βρίσκεστε σε ένα τόσο στοχευμένο άρθρο, σημαίνει ότι γνωρίζετε ήδη ποια είναι η χρησιμότητα ενός Read-Only Domain Controller (RODC) οπότε δε θα επεκταθώ καθόλου σε αυτό το κομμάτι. Ας πάμε στο ζουμί.
Υπάρχουν δύο τρόποι για να εγκαταστήσουμε έναν RODC, είτε με την κλασική διαδικασία είτε με την Staged μέθοδο που θα δούμε αναλυτικά παρακάτω. Στην ουσία, αυτό που κάνουμε είναι να προετοιμάσουμε (pre-create) από τη δική μας μεριά (πχ. ως admins στα κεντρικά) τον RODC που πρόκειται να κάνουμε deploy σε ένα υποκατάστημα και έπειτα να γίνει το implementation του RODC στο υποκατάστημα από ένα άτομο του IT με τα κατάλληλα δικαιώματα (delegated admin).
Πριν προχωρήσετε, καλό θα ήταν να προετοιμάσετε ορισμένα πράγματα όπως τη δημιουργία των κατάλληλων groups, users και computers που θα υπάρχουν στο υποκατάστημα (σε ένα ξεχωριστό OU του Active Directory ενδεχομένως) έτσι ώστε να είναι έτοιμα για το Password Replication Policy που θα δημιουργήσετε αργότερα. Επίσης, καλό θα ήταν να δημιουργήσετε ένα group για τους delegated admins που θα έχουν πρόσβαση στο RODC και στην ουσία θα ολοκληρώσουν τη διαδικασία.
Εγκατάσταση Staged Read-Only Domain Controller (RODC)
Όπως ανέφερα προηγουμένως, η διαδικασία γίνεται από δύο σημεία. Αρχικά, θα γίνει η προετοιμασία από έναν Domain Controller και έπειτα η ολοκλήρωση στον ίδιο τον RODC. Επίσης, το αναφέρω και παρακάτω, ο RODC δε πρέπει να είναι joined στο AD domain αλλά σε περιβάλλον Workgroup. Διαφορετικά, η εγκατάσταση θα αποτύχει.
Ρυθμίσεις στον Domain Controller
Ανοίξτε την κονσόλα του Active Directory Users and Computers, πατήστε δεξί κλικ στο Domain Controllers container και έπειτα στην επιλογή Pre-create Read-only Domain Controller account.
Στο παράθυρο του wizard που θα ανοίξει, ενεργοποιήστε την επιλογή Use advanced mode installation και πατήστε στο κουμπί Next για να συνεχίσετε.
Προσδιορίστε τα credentials του λογαριασμού που θα χρησιμοποιήσετε, στη συγκεκριμένη περίπτωση είμαι συνδεδεμένος με έναν Domain Administrator λογαριασμό, και πατήστε στο κουμπί Next για να συνεχίσετε.
Εδώ, πληκτρολογήστε το όνομα υπολογιστή του Windows Server που θα έχει το ρόλο του RODC και πατήστε στο κουμπί Next για να συνεχίσετε. Φροντίστε έτσι ώστε το όνομα να είναι ακριβώς το ίδιο μιας και με αυτό τον τρόπο θα κάνει το συσχετισμό. Επίσης, όπως ανέφερα προηγουμένως, ο ‘soon-to-be’ RODC δε πρέπει να έχει ενταχθεί στο domain ακόμη.
Επιλέξτε το Site από τη λίστα και πατήστε στο κουμπί Next για να συνεχίσετε. Στην προκειμένη περίπτωση υπάρχει μόνο το Default-First-Site-Name, στη δική σας ενδεχομένως να υπάρχει και το Site του υποκαταστήματος.
Επιλέξτε αν στον RODC θα εγκατασταθούν παράλληλα και οι ρόλοι του DNS και Global Catalog και πατήστε στο κουμπί Next για να συνεχίσετε. Σε αυτό το σημείο, θα γίνει έλεγχος για τη σωστή επικοινωνία με τους DNS servers. Αν η επικοινωνία δεν επιτυγχάνεται τότε θα σας εμφανίσει αντίστοιχο μήνυμα, ωστόσο σας αφήνει να προχωρήσετε. Καλό θα ήταν όμως να επιλύσετε οποιοδήποτε τέτοιο πρόβλημα παρουσιαστεί πριν το κάνετε.
Σε αυτό το σημείο θα χρειαστεί να επιλέξετε τα groups, users και computers που θα συμμετέχουν στο Password Replication Policy. Όπως θα δείτε, οι high-level λογαριασμοί έχουν αποκλεισμό (deny) ως προεπιλογή. Μία τυπική λύση είναι να έχετε δημιουργήσει τα αντίστοιχα αντικείμενα (groups, users, κλπ.) για το συγκεκριμένο υποκατάστημα και να δηλώσετε μόνο σε αυτά το Allow setting.
Βέβαια, το deny αναφέρεται στο αν θα cache-άρει τους κωδικούς στον RODC και όχι στο αν θα έχει πρόσβαση ο λογαριασμός στον server.
Πατώντας στο κουμπί Add μπορείτε να προσθέσετε τα groups, users και computers που επιθυμείτε. Όπως θα δείτε, πριν τους επιλέξετε, θα πρέπει να αποφασίσετε αν θα δημιουργήσετε ρύθμιση για Allow ή Deny του εκάστοτε αντικειμένου.
Ακόμη και αν κάνετε λάθος σε αυτό το σημείο, μπορείτε προφανώς να αλλάξετε αυτές τις ρυθμίσεις μετέπειτα.
Στο επόμενο βήμα θα χρειαστεί να δηλώσετε το group ή τον user που θα έχει το delegated δικαίωμα για την εγκατάσταση και διαχείριση του RODC. Είναι σημαντικό να δηλώσετε ένα ξεχωριστό group ή user καθώς αυτό το λογαριασμό θα χρειαστεί να δηλώσετε σε επόμενο βήμα στον ίδιο τον RODC για την ολοκλήρωση της εγκατάστασής του.
Εδώ εμφανίζεται μία σύνοψη των ρυθμίσεων που έχετε επιλέξει και σας δίνεται η δυνατότητα να εξάγετε τις ρυθμίσεις (για μελλοντική χρήση και αυτοματοποίηση) πατώντας στο κουμπί Export settings. Πατήστε στο κουμπί Next για να συνεχίσετε.
Τέλος, πατήστε στο κουμπί Finish για να ολοκληρώσετε τον wizard της διαδικασίας του pre-create.
Όπως θα δείτε στο παράθυρο του Active Directory Users and Computers, στο Domain Controllers container, έχει προστεθεί πλέον ο RODC με τύπο Unoccupied DC Account.
Ρυθμίσεις στον RODC
Ολοκληρώσαμε τη διαδικασία από τον Domain Controller. Τώρα, συνδεθείτε στον RODC. Υπενθυμίζω ότι ο RODC δεν έχει ενταχθεί ακόμη στο domain, αυτό θα γίνει αυτόματα στα επόμενα βήματα.
Αρχικά, θα χρειαστεί να εγκαταστήσουμε το ρόλο Active Directory Domain Services. Αυτό μπορείτε να το κάνετε είτε μέσα από τον Server Manager όπως φαίνεται στα βήματα που περιγράφονται στο προηγούμενο άρθρο, είτε μέσω του PowerShell που θα δούμε παρακάτω.
Σε ένα παράθυρο του PowerShell με δικαιώματα διαχειριστή, πληκτρολογήστε την παρακάτω εντολή για να εγκαταστήσετε τον ρόλο Active Directory Domain Services.
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools -IncludeAllSubFeature |
Η εγκατάσταση του ρόλου δεν απαιτεί επανεκκίνηση, οπότε ανοίξτε τον Server Manager και πατήστε στην επιλογή Promote this server to a domain controller από τη σημαία ειδοποιήσεων.
Στο παράθυρο του Deployment Configuration, πατήστε στην επιλογή Add a domain controller to an existing domain, πληκτρολογήστε ή επιλέξτε το domain και δηλώστε το λογαριασμό χρήστη (που ανήκει στο delegated group που δηλώσατε προηγουμένως) που θα χρησιμοποιήσετε για αυτή τη διαδικασία.
Στην ενότητα Domain Controller Options, και εφ’ όσον έχετε δηλώσει σωστά το computer name του server, θα εμφανιστεί το μήνυμα A pre-created RODC account that matches the name of the target server exists in the directory. Επιλέξτε το Use existing RODC account, πληκτρολογήστε το DSRM password και πατήστε στο κουμπί Next για να συνεχίσετε.
Στην ενότητα Additional Options, μπορείτε να επιλέξετε από ποιον Domain Controller θα γίνεται η αντιγραφή (replicate) στον τρέχον DC. Αν δεν έχετε κάποιο συγκεκριμένο λόγο, αφήστε το προεπιλεγμένο Any domain controller και πατήστε στο κουμπί Next για να συνεχίσετε.
Στην ενότητα Paths, επιλέξτε σε ποιο δίσκο του server θα υπάρχουν οι φάκελοι των NTDS, SYSVOL και LOG. Στη δική μας περίπτωση θα αφήσω τους προεπιλεγμένους, εσείς μπορείτε να επιλέξετε κάποιο άλλο δίσκο με βάση τις δικές σας προτιμήσεις και το setup σας.
Στην ενότητα Review Options, θα εμφανιστεί μία συνοπτική εικόνα των ρυθμίσεων που έχετε επιλέξει. Αφού είστε βέβαιοι ότι δεν έχετε κάνει κάποιο λάθος, πατήστε στο κουμπί Next για να συνεχίσετε.
Στην ενότητα Prerequisites Check, θα γίνει ο έλεγχος των προαπαιτούμενων. Εδώ, αν εμφανιστεί έστω και ένα σφάλμα τότε δε θα μπορείτε να συνεχίσετε και θα χρειαστεί να το διορθώσετε πριν προχωρήσετε. Διαφορετικά, αν εμφανιστούν μόνο προειδοποιητικά μηνύματα (που είναι το πιο σύνηθες) αλλά ο έλεγχος έχει ‘περάσει’ όπως φαίνεται και στην εικόνα, πατήστε στο κουμπί Install για να προχωρήσετε.
Με την ολοκλήρωση της εγκατάστασης, ο server θα επανεκκινηθεί αυτόματα και πλέον ο νέος σας RODC θα είναι έτοιμος.
Αφήστε το πρώτο σχόλιο