5部署 RODC 的步骤.docx

1、5部署 RODC 的步骤引用：部署 RODC 的步骤更新时间: 2009年5月应用到: Windows Server 2008本部分包含有关部署 RODC 的信息。除了列出可选任务之外，本部分还首先列出了必须执行的高级任务。该列表后面有详细的信息，包括有关管理凭据的信息以及执行其中一些任务所需的过程。若要部署 RODC，必须完成以下高级任务： 确保林功能级别为 WindowsServer2003 或更高版本 运行 adprep /rodcprep如果您新建的林只有运行 Windows Server2008 的域控制器，则没有必要执行此步骤。 安装运行 WindowsServer 2008 的可

2、写域控制器 可选：将 RODC 安装在完整安装的 WindowsServer 2008 上-或者- 可选：将 RODC 安装在服务器核心安装上 可选：委派 RODC 安装 可选：从介质安装 RODC 可选：删除运行 WindowsServer 2008 的域控制器确保林功能级别为 Windows Server2003 或更高版本管理凭据任何域用户都可以验证当前的林功能级别是否是 Windows Server2003 或更高版本。若要提升林功能级别，您必须是目录林根级域中 Domain Admins 组的成员或者 Enterprise Admins 组的成员。确保林功能级别为 Windows S

3、erver2003 或更高版本的步骤1. 打开“Active Directory 域和信任关系”。2. 在控制台树中，右键单击林的名称，然后单击“属性”。3. 在“林功能级别”下，验证值是WindowsServer2003 还是 Windows Server2008。4. 如果有必要提升林功能级别，请在控制台树中，右键单击“Active Directory 域和信任关系”，然后单击“提升林功能级别”。5. 在“选择一个可用的林功能级别”中，单击WindowsServer2003，然后单击“提升”。运行 adprep /rodcprep管理凭据此步骤更新林中所有 DNS 应用程序目录分区上的权限

4、。这允许它们被也是 DNS 服务器的所有 RODC 成功复制。若要运行adprep /rodcprep，您必须是 Enterprise Admins 组的成员。运行 adprep /rodcprep 的步骤1. 以 Enterprise Admins 组成员的身份登录到域控制器。2. 将 Windows Server2008 安装 DVD 中 sourcesadprep 文件夹的内容复制到架构主机。3. 打开命令提示符，将目录更改为 adprep 文件夹，键入以下命令，然后按 Enter：adprep /rodcprep安装运行 Windows Server2008 的可写域控制器RODC 必

5、须从运行 Windows Server2008 的可写域控制器复制域更新。安装 RODC 之前，确保在同一域中安装运行 Windows Server2008 的可写域控制器。域控制器可以运行完整安装或服务器核心安装的 Windows Server2008。在 Windows Server2008 中，可写域控制器不需要保留主域控制器 (PDC) 仿真器操作主机角色。有关安装运行 Windows Server2008 的可写域控制器的详细信息以及循序渐进过程，请参阅 Windows Server2008 Active Directory 域服务安装和删除的循序渐进指南 (可选：将 RODC 安装

6、到完整安装的 WindowsServer 2008 上您可以将 RODC 安装到完整安装的 Windows Server2008 上或是服务器核心安装的 Windows Server2008 上。可以采用各种方式启动 ActiveDirectory 域服务安装向导。有关完整列表，请参阅 Windows Server2008 Active Directory 域服务安装和删除的循序渐进指南 (在域中安装了第一个 RODC 之后，留出足够的时间以便新的密码复制策略组复制到域中的其他域控制器，然后再尝试安装其他 RODC。这样有助于防止在安装 RODC 期间由于组在源域控制器上不可用而发生错误。管理

7、凭据若要将 RODC 安装在完整安装的 Windows Server2008 上，您必须是 Domain Admins 组的成员。将 RODC 安装在完整安装的 WindowsServer 2008 上的步骤1. 以 Domain Admins 组成员的身份登录到服务器。2. 单击“开始”，键入dcpromo，然后按 Enter 以启动 ActiveDirectory 域服务安装向导。服务器可以属于某个工作组。如果您没有委派安装，则服务器也可以加入到您希望其成为 RODC 的域中。备注如果您在“欢迎使用 Active Directory 域服务安装向导”页上选中了“使用高级模式安装”复选框，则

8、可以在安装 ADDS 期间配置 RODC 的密码复制策略和其他设置。在本指南中，管理 RODC 的步骤提供了配置密码复制策略的过程。有关选中“使用高级模式安装”复选框时可以配置的设置的完整列表，请单击“高级模式安装”帮助链接。3. 在“选择某一部署配置”页上，单击“现有林”，单击“向现有域添加域控制器”，如下图所示，然后单击“下一步”。4. 在“网络凭据”页上，键入计划安装 RODC 的林中域的名称。如有必要，还要键入 Domain Admins 组成员的用户名和密码，然后单击“下一步”。5. 为 RODC 选择域，然后单击“下一步”。6. 单击 RODC 的 ActiveDirectory

9、站点，如下图所示，然后单击“下一步”。7. 选中“只读域控制器”复选框，如下图所示。默认情况下，“DNS 服务器”复选框也是选中的。备注若要在 RODC 上运行 DNS 服务器，运行 Windows Server2008 的另一个域控制器必须正在域中运行并且承载 DNS 域区域。RODC 上的 ActiveDirectory 集成区域始终是区域文件的一个只读副本。将更新发送到中心站点中的 DNS 服务器，而不是在 RODC 上本地进行。8. 若要使用为 ActiveDirectory 数据库、日志文件以及 SYSVOL 指定的默认文件夹，请单击“下一步”。9. 键入然后确认目录服务还原模式密码

10、，然后单击“下一步”。10. 确认在“摘要”页上出现的信息，然后单击“下一步”以启动 ADDS 安装。您可以选中“完成后重新启动”复选框使其余安装自动完成。可选：将 RODC 安装在服务器核心安装上管理凭据这是一个可选任务。如果您选择将 RODC 安装在服务器核心安装的 Windows Server2008 上，则您必须是 Domain Admins 组的成员或者您必须已经被委派了执行安装的能力。若要将 RODC 安装在服务器核心安装的 Windows Server2008 上，您必须执行 ADDS 的无人参与安装。以下过程包括在无人参与安装期间可以在答案文件中指定的参数。如果使用dcprom

11、o /unattend命令，您还可以在命令行上指定这些参数。有关 ADDS 的无人参与安装参数以及安装之后返回的退出代码的详细信息，请参阅 Windows Server2008 Active Directory 域服务安装和删除的循序渐进指南 (将 RODC 安装在服务器核心安装的 WindowsServer 2008 上的步骤1. 安装另一台运行服务器核心安装的 Windows Server2008 的服务器计算机。2. 将下列答案文件设置复制到文本文件。InstallDNS、PasswordReplicationAllowed、PasswordReplicationDenied 和 Rep

12、licationSourceDC 设置是可选的。用您环境的正确信息替换占位符信息（为斜体）。然后用安装期间您将用于答案文件的名称保存该文本文件：DCInstallInstallDNS=YesConfirmGc=NoCriticalReplicationOnly=NoDisableCancelForDnsInstall=NoPasswordReplicationAllowed=允许将其成员的密码缓存在 RODC 上的组的名称PasswordReplicationDenied=不允许将其成员的密码缓存在 RODC 上的组的名称Password=Domain Admin 密码RebootOnComp

13、letion=NoReplicaDomainDNSName=域的 DNS 全名ReplicaOrNewDomain=ReadOnlyReplicaReplicationSourceDC=同一域中Windows Server2008 域控制器的名称SafeModeAdminPassword=选择用于目录服务还原模式的适当密码SiteName=RODC 站点名称UserDomain=DomainNameUserName=Domain Admin 帐户名备注指定为 PasswordReplicationAllowed 和 PasswordReplicationDenied 的值的组必须已经存在。您必

14、须使用 WindowsNT 格式（domainuser_name或user_name）或使用用户主体名称 (UPN) 格式 (user_name) 指定组。为每个附加组添加另一个条目。例如：PasswordReplicationAllowed=CN=AllowedGroup,OU=Users,DC=spruce,DC=example,DC=contoso,DC=comPasswordReplicationAllowed=CN=AllowedGroup2,OU=Users,DC=spruce,DC=example,DC=contoso,DC=com如果您不希望在安装期间指定任何组，请保留此条目为

15、空白。3. 在命令行上，键入以下命令，然后按 Enter：dcpromo /unattend:PathToAnswerFile可选：委派 RODC 安装您可以执行 RODC 分步安装，该安装由两个阶段组成，分别由不同的人来完成。第一个安装阶段需要域管理凭据，此阶段在 ADDS 中为 RODC 创建一个帐户。第二个安装阶段将远程位置（如分支机构）中将要成为 RODC 的实际服务器关联到先前为其创建的帐户。您可以委派将服务器关联到远程位置中非管理组或用户帐户的功能。在安装的第一阶段中，向导记录将存储在分布式 ActiveDirectory 数据库中有关 RODC 的所有数据，包括只读域控制器帐户名

16、以及它将要被放置到的站点。此阶段必须由 Domain Admins 组的成员执行。创建 RODC 帐户的管理员也可以在此时指定哪些用户或组可以完成下一个安装阶段。只要任何用户或组在帐户创建时被委派了完成安装的权限，便可以在分支机构中执行下一个安装阶段。此阶段不要求内置组（例如 Domain Admins 组）中的任何成员身份。如果创建 RODC 帐户的用户没有指定用于完成安装（和管理 RODC）的任何委派，则只有 Domain Admins 组或 Enterprise Admins 组的成员可以完成安装。在第二个阶段中，向导在将成为 RODC 的服务器上安装 ADDS 并将该服务器关联到先前为

17、其创建的域帐户。此阶段通常发生在部署 RODC 的分支机构或其他远程位置。在此阶段中，所有位于本地的 ADDS 数据（例如数据库、日志文件等）都在 RODC 自身上创建。可以将安装源文件通过网络从另一个域控制器中复制到 RODC，或者您也可以使用从介质安装 (IFM) 的功能。若要使用 IFM，请使用 Ntdsutil.exe 创建安装介质。尝试将要成为 RODC 的服务器附加到 RODC 帐户之前，它不得加入域中。作为安装过程的一部分，该向导会自动检测该服务器的名称是否与事先为该域创建的任何 RODC 帐户的名称匹配。如果向导发现匹配的帐户名称，它会提示用户使用该帐户来完成 RODC 安装。

18、您可以使用 Active Directory 用户和计算机管理单元创建 RODC 帐户。备注可以通过在命令提示符下键入dcpromo以及适当的参数或使用答案文件自动执行 RODC 的分步安装。有关自动安装的详细信息，请参阅 Windows Server2008 Active Directory 域服务安装和删除的循序渐进指南 (使用 Windows 界面创建 RODC 帐户的步骤1. 依次单击“开始”、“管理工具”和“Active Directory 用户和计算机”。2. 双击域控制器，然后右键单击“域控制器”容器或单击“域控制器”容器，然后单击“操作”。3. 单击“预创建只读域控制器帐户”，

19、如下图所示。4. 在“欢迎使用 Active Directory 域服务安装向导”页上，如果您想修改默认的密码复制策略，请选择“使用高级模式安装”，然后单击“下一步”。5. 在“网络凭据”页上的“请指定用于执行安装的帐户凭据”下，单击“我的当前登录凭据”，如下图所示，或单击“备用凭据”，然后单击“设置”。在“Windows 安全”对话框中，提供可用来安装其他域控制器帐户的用户名和密码。若要安装其他域控制器，您必须是 Enterprise Admins 组或 Domain Admins 组的成员。提供凭据后，单击“下一步”。6. 在“指定计算机名称”页上，键入将成为 RODC 的服务器的计算机名

20、称。7. 在“请选择一个站点”页上，从列表中选择站点，或在与运行该向导的计算机的 IP 地址相对应的站点中，选择用于安装域控制器的选项，然后单击“下一步”。8. 在“其他域控制器选项”页上，执行如下选择，如下图所示，然后单击“下一步”： “DNS 服务器”:默认情况下选中该选项，以使您的域控制器可以用作 DNS 服务器。如果您不想将域控制器作为 DNS 服务器，请清除此复选框。但是，如果您没有在 RODC 上安装 DNS 服务器角色，并且该 RODC 是分支机构中唯一的域控制器，则分支机构中的用户将无法在中心站点的 WAN 脱机时执行名称解析。 “全局编录”:默认情况下选中该选项。它会将全局编

21、录的只读目录分区添加到域控制器，并且将启用全局编录搜索功能。如果您不希望域控制器成为全局编录服务器，则清除该选项。但是，如果您没有在分支机构中安装全局编录服务器，或者没有为包含 RODC 的站点启用通用组成员身份缓存，则分支机构中的用户将无法在中心站点的 WAN 脱机时登录域。 “只读域控制器”。当创建 RODC 帐户时，该选项为默认选中且无法清除。9. 如果您选中了“欢迎使用”页上的“使用高级模式安装”复选框，则会出现“指定密码复制策略”页。默认情况下，帐户密码不会复制到 RODC，并且明确拒绝安全敏感帐户（如 Domain Admins 组的成员）在任何时候将其密码复制到 RODC。若要接

22、受默认设置，请单击“下一步”。-或者-若要向策略添加其他帐户，请单击“添加”。如果您希望允许帐户将其密码复制到 RODC，则单击“允许该帐户的密码复制到此 RODC 中”。如果您希望拒绝帐户将其密码复制到 RODC，请单击“拒绝该帐户的密码复制到此 RODC 中”。然后单击“确定”。添加完其他帐户后，单击“下一步”。当在域中安装第一个 RODC 时，要使 RODC 起作用，需要创建域组帐户。根据您的复制拓扑，当您尝试在域中安装另一个 RODC 时，向导可能会返回一个错误，指出这些组帐户不可用。这种情况下，需等待复制完成，然后再安装其他 RODC。有关配置密码复制策略的详细信息，请参阅管理 RO

23、DC 的步骤。10. 在“选择用户、计算机和组”中，键入您要添加到该策略的帐户的名称，然后单击“确定”。11. 在“用于 RODC 安装和管理的委派”页上，键入将服务器关联到正在创建的 RODC 帐户的用户或组的名称，如下图所示。您可以只键入一个安全主体的名称。若要在目录中搜索特定用户或组，请单击“设置”。在“选择用户、计算机或组”中，键入用户或组的名称。我们建议您将 RODC 安装和管理委派给一个组。安装之后，该用户或组在此 RODC 上也将具有本地管理权限。如果未指定用户或组，则只有 Domain Admins 组或 Enterprise Admins 组的成员才能将服务器关联到帐户。完成

24、后，单击“下一步”。12. 在“摘要”页上，检查您的选择。如有必要，请单击“上一步”更改任何选项。若要将选择的设置保存到答案文件以便以后自动执行 ADDS 操作，请单击“导出设置”。键入答案文件名，然后单击“保存”。确认所做选择正确无误之后，请单击“下一步”创建 RODC 帐户。13. 在“完成 Active Directory 域服务安装向导”页上，单击“完成”。为 RODC 创建帐户之后，您委派了 RODC 的安装和管理权限的用户或组（在前面过程中的第 11 步中）可以在将成为 RODC 的服务器上运行 Active Directory 域服务安装向导以完成 RODC 安装。启动向导之前，

25、确保该服务器未加入域中。使用 Windows 界面将服务器附加到 RODC 帐户的步骤1. 以本地 Administrator 身份登录到将成为 RODC 的服务器，然后打开命令提示符。2. 键入以下命令，然后按 Enter：dcpromo /UseExistingAccount:Attach3. 在“欢迎使用 Active Directory 域服务安装向导”页上，单击“下一步”，如果您想从介质安装或标识 ADDS 复制的源域控制器，则选中“使用高级模式安装”复选框。4. 在“网络凭据”页中，在计划安装其他域控制器的林中键入任何现有域的名称，如下图所示。在“请指定用于执行安装的帐户凭据”下，

26、单击“备用凭据”，然后单击“设置”。在“Windows 安全”对话框中，提供创建 RODC 时委派了安装和管理 RODC 功能的帐户的用户名和密码。提供凭据后，单击“下一步”。5. 在“选择域控制器帐户”页上，确认向导已经找到了与服务器名称匹配的现有 RODC 帐户，然后单击“下一步”。6. 如果您选择了高级安装模式，则可以指定以下高级选项：a. 在“从介质安装”页上，您可以提供用于创建域控制器和配置 ADDS 的安装介质的位置，也可以选择通过网络复制所有数据。请注意，即使您选择从介质安装，也会通过网络复制某些数据。有关使用该方法安装域控制器的信息，请参阅可选：从介质安装 RODC。b. 在“

27、源域控制器”页上，您可以指定从中复制配置和架构目录分区（如果您未选择从介质安装，则为整个 Active Directory 数据库）的域控制器。如果选择“此特定的域控制器”，您可以选择想要提供源复制的域控制器新建域控制器，然后单击“下一步”。7. 在“数据库、日志文件和 SYSVOL 的位置”页上，键入或浏览到数据库文件、目录服务日志文件和系统卷 (SYSVOL) 文件的卷和文件夹位置，然后单击“下一步”。Windows Server Backup 按卷备份目录服务。为了有效地备份和恢复，请将这些文件存储到不包含应用程序或其他非目录文件的其他卷上。8. 在“目录服务还原模式的 Administ

28、rator 密码”页上，键入并确认还原模式密码，然后单击“下一步”。对于必须脱机执行的任务，此密码可用于在目录服务还原模式下启动 ADDS。密码的复杂性和长度必须符合域安全策略。9. 在“摘要”页上，检查您的选择。如有必要，请单击“上一步”更改任何选项。若要将选择的设置保存到答案文件以便以后自动执行 ADDS 操作，请单击“导出设置”。键入答案文件名，然后单击“保存”。确认所做选择正确无误之后，请单击“下一步”安装 ADDS。10. 还可以选中“完成后重新启动”复选框使服务器自动重启，也可在收到系统提示后重启服务器完成对 ADDS 的安装。可选：从介质安装 RODC在 WindowsServe

29、r 的早期版本中，鼓励管理员使用 Ntbackup.exe 创建域控制器安装介质。在 Windows Server2008 中，鼓励管理员使用 ntdsutil.exe 创建安装介质。您可以使用 ntdsutil 中新的ifm子命令从安装介质中删除缓存的机密（如密码）以便将其用于 RODC 安装。Ntbackup.exe 无法从安装介质中删除缓存的机密。若要从介质安装 RODC，请首先使用 Ntdsutil 创建安装介质。然后，指定适合于您所使用的安装方法的 IFM 选项，如下表中所列出。安装方法指定 IFM 选项所需的操作Active Directory 域服务安装向导选中“欢迎使用”页上的

30、“使用高级模式安装”复选框（对于委派和非委派的安装）。命令行安装键入dcpromo /unattend /ReplicationSourcePath:到安装介质的路径添加完成安装所需的其他参数。答案文件创建一个答案文件，该文件包含 ReplicationSourcePath=到安装介质的路径 的一个条目在命令提示符下指定dcpromo /unattend:到答案文件的路径。有关从介质安装的详细信息，请参阅 Windows Server2008 Active Directory 域服务安装和删除的循序渐进指南 (可选：删除运行 Windows Server2008 的域控制器管理凭据这是一个可选任务。如果您选择删除运行 Windows Server2008 的域控制器，则您必须是 Domain Admins 组的成员。在 WindowsServer2008 上删除域控制器的步骤1. 将下列答案文件设置复制到文本文件。InstallDNS 和 ReplicationSourceDC 设置是可选的。用您环境的正确信息替换占位符信息（为斜体），然后保