domingo, 21 de julho de 2013

RODC: Instalando Controlador de Domínio Somente Leitura no Windows Server 2008

1 comment
Instalar um controlador de domínio somente leitura (RODC) não é muito diferente do que a instalação de um controlador de domínio normal.
No entanto, um RODC só pode ser instalado em um domínio do Active Directory com pelo menos um controlador de domínio completo (não somente leitura) Windows 2008 ou 2003 Server.

Um RODC pode ser utilizado em ambientes de Matriz x Filial, onde você não precisa de um Administrador de Rede na filial. Dessa forma todo gerenciamento será feito na Matriz e replicado para filial.

Uma vez que a decisão foi tomada para instalar um RODC a próxima decisão é se será instalado em no modo completo ou server-core do Windows 2008 Server.

O RODC é destinado principalmente a fornecer segurança adicional ao Active Directory para um servidor que não está fisicamente seguro.

Embora possa ser tentador considerar a instalação do Server Core em RODC remotos para diminuir a quantidade de patches e atualizações que precisam ser instaladas. No entanto, é importante lembrar que, se não houver pessoal técnico no local, pode ser muito mais difícil contar com alguém para realizar algum procedimento necessário, se a pessoa não técnica, tem que utilizar a linha de comando.

Instalando o RODC em uma instalação Server Core
Há apenas uma maneira de instalar a rule RODC em uma instalação Server Core. O comando dcpromo.exe funciona na versão sem GUI do Windows Server 2008.
Embora existam muitas configurações disponíveis, dependendo de sua infra-estrutura especial, apenas informações básicas são necessárias para completar o comando:
- conta com privilégios para executar o comando:
- nome do site;
- caminho do banco de dados e log;
- se deseja ou não instalar DNS;

Usando um arquivo de resposta para o comando torna o processo muito mais fácil do que tentar obter todas as chaves apenas para a direita na linha de comando, abre um bloco de notas e insira as informações abaixo, substituindo os valores

[DCInstall]
ReplicaOrNewDomain=ReadOnlyReplica 
ReplicaDomainDNSName=
<NOME.DO.DOMINIO> 
SiteName=Default-First-Site-Name 
InstallDNS=Yes
ConfirmGc=Yes 
UserDomain=<NOME.DO.DOMINIO>
UserName=
Password=
DatabasePath="C:WindowsNTDS" 
LogPath="C:WindowsNTDS" 
SYSVOLPath="C:WindowsSYSVOL"
PasswordReplicationDenied="Domain Admins" 
PasswordReplicationDenied="Enterprise Admins" 
PasswordReplicationAllowed=None 
DelegatedAdmin="Domain Admins" 
CriticalReplicationOnly=Yes
SafeModeAdminPassword= <SENHA DO ADMIN LOCAL(MODO DSRM)> 
RebootOnCompletion=No

Muitas pessoas vão colocar um "sim" para RebootOnCompletion. Se você está fazendo uma promoção real autônoma, então, que faria sentido.

Após criar o script, salve o arquivo como .txt e rode o comando:
dcpromo /unattend:<nome do arquivo>

Instalando o RODC com Assistente de Instalação
Em uma instalação completa do Windows Servers 2008, podemos utilizar o Assistente de Instalação do Active Directory Domain Services para instalar o RODC.
Digite "dcpromo.exe" no prompt para iniciar o assistente de comando.

A primeira tela irá perguntar se você quer usar uma floresta existente ou criar um novo domínio em uma nova floresta. Desde que você deve juntar-se um domínio existente com um RODC.
   

Em seguida, você será solicitado um nome de usuário e senha. A conta deve ser um membro do Administradores de domínio, a fim de criar um controlador de domínio Read-Only.

   

Até agora, tudo isso é o mesmo que um controlador de domínio de instalação regular. Em "Opções adicionais" é onde você realmente optar por fazer isso a instalação do controlador de domínio Read-Only.



Após isso siga os passos da figura abaixo até o assistente concluir a instalação. (clique na imagem para ampliar)
   

   

   

   
Neste caso, você também pode verificar "Reboot Em conclusão". Ao contrário do ambiente de linha de comando, aqui no mundo da GUI, se algo der errado, você terá todo o tempo que quiser antes de clicar em OK ou em Avançar para analisar o que aconteceu.

Você pode verificar no console de Usuários e Computadores do Active Directory, do DC Principal, dentro do  container Domain Controllers, conforme a imagem abaixo:


Configurar a Diretiva de Replicação de Senha de um RODC

Você tem a opção de não replicar a senha dos usuários da Matriz para o RODC entre outras configurações, para saber mais sobre Replicação de Senhas no RODC acesse o link: http://technet.microsoft.com/pt-br/library/cc730883(v=ws.10).aspx


Espero ter Ajudado. Tem alguma informação ou dúvida sobre o assunto? Fique a vontade para deixar um comentário.

Um comentário:

  1. Ola, no caso eu configurei um rodc na minha rede blz tenho o dc principal na mtriz e o dcrodc na filial como eu faço para que os usuarios da filial façam login apenas no rodc?

    ResponderExcluir