Infra - Windows Server
O que é o RODC do Windows Server 2008
Este artigo descreve a instalação de um Domain Controller como RODC (Read Only Domain Controller), também explicamos a idéia do RODC, para utilização em ambientes de filiais e escritórios remotos.
por Rover MarinhoEste artigo aplica-se aos seguintes produtos e tecnologias:
- Windows Server
2008
Introdução
Nesta Coluna iremos explicar a nova função de Domain Controller no Windows Server 2008, onde temos o RODC (Read Only Domain Controller), controlador de domínio “sem poder” de escrita no Active Directory. Vamos conhecer todo processo de instalação e configuração do RODC.
1 – CONSIDERAÇÕES SOBRE O RODC
2 – PREPARANDO A FLORESTA PARA O RODC
3 – INSTALANDO O RODC DENTRO DA FLORESTA 2003
4 – CONCLUSÃO
1 – CONSIDERAÇÕES SOBRE O RODC
Algumas considerações tem de ser feitas sobre o RODC, abaixo descrevemos cada uma delas:
1.1 – Preparação da Floresta para o RODC
Para instalarmos o RODC o primeiro passo a ser feito e utilizar a preparação da floresta utilizando o comando demonstrado abaixo:
· Adprep /rodcprep (Disponível no DVD de Instalação do produto)
1.2 – Domain Controller e GC em 2008:
O RODC exige que pelo menos um DC esteja em modo 2008 com Global Catalog 2008. Não é possível instalar em uma nova floresta o RODC como o primeiro DC da floresta
1.3 – Replicação de Dados :
A replicação de dados entre o RODC e o Dc da floresta conhecido como “Parent DC” pode ser escolhida, assim, você tem a possibilidade de escolher com quais DC`s você quer replicar o seu RODC.
1.4 – Cache de Password de usuários:
A função de RODC não faz cache de password por default dos usuários do domínio, porém você pode habilitar o RODC para ter os passwords dos usuários autenticados, no caso de uma falha de conexão.
O RODC possui sua própria conta KDC KrbTGT para providenciar autenticação
1.5 – Promoção de DC em RODC:
Não existe a possibilidade de você promover um DC normal em RODC, primeiro será necessário despromover o DC para promovê-lo como RODC. Os RODC`s não fazem parte dos grupos Enterprise-DC ou Domain-DC e tem permissões limitadas para gravação de dados na base do AD.
1.6 – Read Only Partial Attribute Set:
Esta Opção previne que credenciais de programas sejam gravadas dentro do RODC
2 – PREPARANDO A FLORESTA PARA O RODC
Todo o processo de instalação do RODC só é possível a partir do momento que estendemos o Schema do Active Directory, assim o domínio reconhecerá que as features do RODC poderão ser utilizadas na instalação do DC.
O Comando utilizado é ADPREP.exe /RODCPrep, segue na Figura1 abaixo:
Figura1 – Adprep para RODC
O resultado do comando da Figura1, vai gerar a Figura2, com os dados demonstrados da comitação de informação dentro do Schema do Active Directory.
Figura2 – Contexto do Adprep em Command Prompt
3 – INSTALANDO O RODC DENTRO DA FLORESTA 2003
Após esta preparação citada na Figura2, temos a oportunidade de iniciar a instalação de nosso RODC, lembrando que para isto, basta clicar em RUN dentro do menu Start e digitar o comando DCPROMO.
Em seguida aparecerá a tela da Figura3, não esqueça de marcar a opção “Use Advanced Mode Installation”, em seguida clique em Next.
Figura3 – Utilizando o modo de Instalação
Avançado
Na Figura4 podemos ver a tela de Aviso de compatibilidade, vale lembrar que a leitura das informações nesta tela ressaltam a operação que esta sendo feita e suas modificações no ambiente.
Figura4
– Tela de Compatibilidade
Temos agora a opção de Criarmos “um novo domínio na mesma floresta”, “Criar um novo domínio e nova Floresta”e a opção que marcaremos é “Existing Forest – Add a Domain Controller...”, assim vamos adicionar um DC dentro da mesma floresta conhecida como Shequinah.net, demonstrado na Figura6 conforme segue.
Figura5
– Tela de Deploy “Existing Forest”
Figura6
– Tela de verificação de domínio
Abaixo na Figura7, podemos executar a promoção com credenciais diferentes da que estamos logados.
Figura7
– Alterando as credenciais para instalação
A tela da Figura8 demonstra os domínios encontrados, vamos confirmar a opção pelo domínio Shequinah.net.
Figura8
– Tela de verificação de Domínios
Esta nova etapa de instalação do DC no Windows 2008, poupa trabalho e agiliza a entrada de novos DC`s nos sites ao qual eles irão gerenciar, escolha o site ao qual este DC novo irá participar na tela demonstrada na Figura9, após isto clique em Next.
Figura9
– Tela de Sites and Service
A Figura10 também nos mostra outra novidade, que é a possibilidade de marcar na instalação a opção de Global Catalog e também de RODC, lembrando que a opção de RODC, apenas irá aparecer na promoção do 2º DC do domínio, para o primeiro DC do domínio a opção é desativada.
Figura10
– Escolha o RODC
Ao marcarmos a opção de RODC conforme Figura10, em seguida recebemos a tela da Figura11 onde podemos sincronizar os passwords dos usuários do RODC.
Figura11
– Password Replication
Na Tela da Figura12, podemos delegar o poder de instalação e de gerenciamento a um grupo específico dentro do RODC.
Figura12
– Tela de Delegação de Grupos
Em
muitos cenários temos o link entre as filiais de empresas com baixa velocidade,
para isto a replicação na instalação de um novo DC, poderia levar horas e horas
para ser finalizada, a Figura13 nos mostra a opção de instalarmos este RODC,
com um backup de System State de outro DC, após a instalação o período de
replicação de informações que acontece igual a Figura18, será apenas das
diferenças do backup para o dia atual.
Figura13
– Tela de escolha de replicação de dados
Podemos escolher com qual DC nosso RODC irá replicar e buscar a sincronização de contas e passwords, segue abaixo na Figura14.
Figura14
– Tela de escolha do Parent DC
Quase ao final, marcamos o local onde serão gravados os Logs, Base e Pasta Sysvol do RODC, conforme demonstrado na Figura15.
Figura15
– Tela de Diretórios de Instalação
Não podemos esquecer de documentar a Senha colocada na Figura16. Esta senha será utilizada no momento de manutenção do Active Directory ou em caso de disaster recovery.
Figura16
– Tela de Directory Services Restore Mode
Ao Final verifique a opção Export Settings. Em caso de necessidade de instalação através de um Unattend Installation, basta clicar no botão Export Settings para ver o resultado de suas configurações. Segue exemplo no Quadro1.
Figura17
– Tela Summary com resumo de opções
Na Figura18 a replicação do Active Directory esta sendo feita, caso tenha optado por fazer uma instalação baseada em Backup do System State, neste momento o Wizard apenas sincronizará a diferença do NTDS entre o Backup e o dia atual.
Figura18
– Tela de replicação entre o RODC e o Parent DC
Quadro1 – Configurações Unattend para RODC |
|
; DCPROMO unattend file (automatically generated by dcpromo) ; Usage: dcpromo.exe /unattend:C:\Users\Administrator\Desktop\RODC - Unnatend.txt ; You may need to fill in password fields prior to using the unattend file, If you leave the values for "Password" and/or "DNSDelegationPassword" ; as "*", then you will be asked for credentials at runtime. [DCInstall] ; Read-Only Replica DC promotion ReplicaOrNewDomain=ReadOnlyReplica ReplicaDomainDNSName=shequinah.net ; RODC Password Replication Policy PasswordReplicationDenied="BUILTIN\Administrators" PasswordReplicationDenied="BUILTIN\Server Operators" PasswordReplicationDenied="BUILTIN\Backup Operators" PasswordReplicationDenied="BUILTIN\Account Operators" PasswordReplicationDenied="SHEQUINAH\Denied RODC Password Replication Group" PasswordReplicationAllowed="SHEQUINAH\Allowed RODC Password Replication Group" PasswordReplicationAllowed="SHEQUINAH\RODC-Site1" DelegatedAdmin="SHEQUINAH\G-RODC-Site1" SiteName=Default-First-Site-Name InstallDNS=Yes ConfirmGc=Yes CreateDNSDelegation=No UserDomain=shequinah.net UserName=shequinah.net\administrator Password=* ReplicationSourceDC=DC01.shequinah.net DatabasePath="C:\Windows\NTDS" LogPath="C:\Windows\NTDS" SYSVOLPath="C:\Windows\SYSVOL" ; Set SafeModeAdminPassword to the correct value prior to using the unattend file SafeModeAdminPassword= ; Run-time flags (optional) ; CriticalReplicationOnly=Yes ; RebootOnCompletion=Yes |
Quadro1 – Unattend File para Instalação de um RODC
Basta clicar em “Finish”conforme imagem da Figura19 para que o seu RODC entre em atividade no seu domínio, em seguida confirme para reiniciar conforme a Figura20, após o boot o RODC estará pronto para ser utilizado.
Figura19
– Finalizando a instalação
Figura20
– Finalizando a instalação
4 – CONCLUSÃO
Neste tutorial aprendemos o que é o RODC e também todos os processos desde a preparação do ambiente até o momento de instalação do RODC, vale ressaltar também que todo RODC, tem poder de escrita limitado no Active Directory e não é um novo tipo de BDC (Backup Domain Controller).
- Instalando e configurando um servidor DHCP no Windows Server 2008Windows Server
- Instalando Active Directory Windows Server 2008Windows Server
- Instalando e configurando um servidor DNS no Windows Server 2008Windows Server
- Aperfeiçoar UPDATE e DELETE x CursoresSQL Server
- Sequenciando as VMs no Hyper-VWindows