1、引用: http:/ RODC 分步安装更新时间: 2009 年 1 月应用到: Windows Server 2008, Windows Server 2008 R2您可以执行 RODC 安装,该安装由两个阶段组成,分别由不同的人来完成。第一个安装阶段需要域管理凭据,此阶段在 AD DS 中为 RODC 创建一个帐户。第二个安装阶段将远程位置(如分支机构)中将要成为 RODC 的实际服务器关联到先前为其创建的帐户。您可以委派将服务器关联到非管理组或用户的功能。 在第一阶段中,向导记录将存储在分布式 Active Directory 数据库中有关 RODC 的所有数据,例如,RODC 的域控制
2、器帐户名以及它将要被放置到的站点。此阶段必须由 Domain Admins 组的成员执行。 创建 RODC 帐户的管理员也可以在此时指定哪些用户或组可以完成下一个安装阶段。只要任何用户或组在帐户创建时被委派了完成安装的权限,便可以在分支机构中执行下一个安装阶段。此阶段不要求内置组(例如 Domain Admins 组)中的任何成员身份。如果创建 RODC 帐户的用户没有指定用于完成安装(和管理 RODC)的任何委派,则只有 Domain Admins 组或 Enterprise Admins 组的成员可以完成此安装。 在第二个阶段中,向导在将成为 RODC 的服务器上安装 AD DS 并将该服
3、务器关联到先前为其创建的域帐户。此阶段通常发生在部署 RODC 的分支机构。在此阶段中,所有位于本地的 AD DS 数据(例如数据库、日志文件等)都在 RODC 自身上创建。安装源文件可以通过网络从另一个域控制器中复制到 RODC,或者您也可以使用从介质安装 (IFM) 的功能。若要使用 IFM,请使用 Ntdsutil.exe 创建安装介质。 尝试将要成为 RODC 的服务器附加到 RODC 帐户之前,它不得加入域中。作为安装过程的一部分,该向导会自动检测该服务器的名称是否与事先为该域创建的任何 RODC 帐户的名称匹配。如果向导发现匹配的帐户名称,它会提示用户使用该帐户来完成 RODC 安
4、装。 您可以使用以下任何一种方法来完成每一阶段的安装: Windows 界面 答案文件 命令行使用 Windows 界面执行 RODC 分步安装您可以使用 Active Directory 用户和计算机管理单元创建 RODC 帐户。 使用 Windows 界面创建 RODC 帐户的步骤 1. 依次单击“开始 ”、“管理工具”和 “Active Directory 用户和计算机”。 2. 右键单击“域控制器 ”容器或单击 “域控制器”容器,然后单击“ 操作”。 3. 单击“预先创建只读域控制器帐户” 。4. 在“欢迎使用 Active Directory 域服务安装向导”页上,如果您想修改默认的
5、密码复制策略,请选择 “使用高级模式安装” ,然后单击 “下一步 ”。5. 在“操作系统兼容性” 页上,查看有关 Windows Server 2008 域控制器的默认安全设置的警告,然后单击“下一步”。6. 在“网络凭据 ”页上的“请指定用于执行安装的帐户凭据”下,单击“ 我的当前登录凭据”或单击“备用凭据”,然后单击“设置” 。在 “Windows 安全”对话框中,提供可用来安装其他域控制器帐户的用户名和密码。若要安装其他域控制器,您必须是 Enterprise Admins 组或 Domain Admins 组的成员。提供凭据后,单击“ 下一步” 。7. 在“指定计算机名称” 页上,键入
6、将成为 RODC 的服务器的计算机名称。8. 在“请选择一个站点” 页上,从列表中选择站点,或在与运行该向导的计算机的 IP 地址相对应的站点中,选择用于安装域控制器的选项,然后单击“下一步” 。9. 在“其他域控制器选项” 页上,进行如下选择,然后单击 “下一步”: “DNS 服务器” :默认情况下选中该选项,以使您的域控制器可以用作 DNS 服务器。如果您不希望该域控制器成为 DNS 服务器,则清除该选项。但是,如果您没有在 RODC 上安装 DNS 服务器角色,并且该 RODC 是分支机构中唯一的域控制器,则分支机构中的用户将无法在中心站点的 WAN 脱机时执行名称解析。 “全局编录 ”
7、:默认情况下此选项已选中。它会将全局编录、只读目录分区添加到域控制器,并且将启用全局编录搜索功能。如果您不希望域控制器成为全局编录服务器,则清除该选项。但是,如果您没有在分支机构中安装全局编录服务器,或者没有为包含 RODC 的站点启用通用组成员身份缓存,则分支机构中的用户将无法在中心站点的 WAN 脱机时登录域。 “只读域控制器” 。当创建 RODC 帐户时,该选项为默认选中且无法清除。10. 如果您选中了“欢迎使用” 页上的 “使用高级模式安装”复选框,则会出现 “指定密码复制策略”页。默认情况下,帐户密码不会复制到 RODC,并且明确拒绝安全敏感帐户(如 Domain Admins 组的
8、成员)在任何时候将其密码复制到 RODC。 若要接受默认设置,请单击“下一步”。 -或者-若要向策略添加其他帐户,请单击“添加” 。如果允许帐户将其密码复制到 RODC,则单击“允许该帐户的密码复制到此 RODC 中”。如果拒绝帐户将其密码复制到 RODC,请单击 “拒绝该帐户的密码复制到此 RODC 中”。然后单击“ 确定”。添加完其他帐户后,单击 “下一步”。当在域中安装第一个 RODC 时,要使 RODC 起作用,需要创建域组帐户。根据您的复制拓扑,当您尝试在域中安装另一个 RODC 时,向导可能会返回一个错误,指出这些组帐户不可用。这种情况下,需等待复制完成,然后再安装其他 RODC。
9、11. 在“选择用户、计算机和组” 中,键入您要添加到该策略的帐户的名称,然后单击“ 确定”。 12. 在“用于 RODC 安装和管理的委派”页上,键入将服务器关联到正在创建的 RODC 帐户的用户或组的名称。您可以只键入一个安全主体的名称。 若要在目录中搜索特定用户或组,请单击“设置” 。在“选择用户、计算机或组”中,键入用户或组的名称。我们建议您将 RODC 安装和管理委派给一个组。 安装之后,该用户或组在此 RODC 上也将具有本地管理权限。如果未指定用户或组,则只有 Domain Admins 组或 Enterprise Admins 组的成员才能将服务器关联到帐户。完成后,单击“下一
10、步 ”。13. 在“摘要 ”页上,检查您的选择。如有必要,请单击“上一步”更改任何选项。若要将选择的设置保存到答案文件以便以后自动执行 AD DS 操作,请单击“导出设置”。键入答案文件名,然后单击“保存” 。 确认所做选择正确无误之后,请单击“下一步” 创建 RODC 帐户。14. 在“完成 Active Directory 域服务安装向导”页上,单击“ 完成”。为 RODC 创建帐户之后,您委派了 RODC 的安装和管理权限的用户或组(在前面过程中的第 11 步中)可以在将成为 RODC 的服务器上运行 Active Directory 域服务安装向导。启动向导之前,确保该服务器未加入域中
11、。 使用 Windows 界面将服务器附加到 RODC 帐户的步骤 1. 以本地 Administrator 身份登录到将成为 RODC 的服务器,然后打开命令提示符。 2. 键入以下命令,然后按 Enter:dcpromo /UseExistingAccount:Attach 3. 在“欢迎使用 Active Directory 域服务安装向导”页上,单击“ 下一步”,如果您想从介质安装或标识 AD DS 复制的源域控制器,则选中“ 使用高级模式安装”复选框4. 在“网络凭据 ”页上,键入计划要在其中安装其他域控制器的林中的任何现有域的名称。在“ 请指定用于执行安装的帐户凭据” 下,单击 “
12、备用凭据 ”,然后单击“设置” 。在“Windows 安全”对话框中,提供创建 RODC 时委派了安装和管理 RODC 功能的帐户的用户名和密码。提供凭据后,单击 “下一步”。5. 在“选择域控制器帐户” 页上,确认向导已经找到了与服务器名称匹配的现有 RODC 帐户,然后单击“下一步” 。6. 如果您选择了高级安装模式,则可以指定以下高级选项:a. 在“从介质安装” 页上,您可以提供用于创建域控制器和配置 AD DS 的安装介质的位置,也可以选择通过网络复制所有数据。请注意,即使您选择从介质安装,也会通过网络复制某些数据。有关使用该方法安装域控制器的信息,请参阅 从介质安装 AD DS。b.
13、 在“ 源域控制器” 页上,您可以指定从中复制配置和架构目录分区(如果您未选择从介质安装,则为整个 Active Directory 数据库)的域控制器。如果选择“此特定的域控制器”,您可以选择想要提供源复制的域控制器新建域控制器,然后单击“下一步” 。7. 在“数据库、日志文件和 SYSVOL 的位置”页上,键入或浏览到数据库文件、目录服务日志文件和系统卷 (SYSVOL) 文件的卷和文件夹位置,然后单击“下一步”。Windows Server Backup 按卷备份目录服务。为了有效地备份和恢复,请将这些文件存储到不包含应用程序或其他非目录文件的其他卷上。8. 在“目录服务还原模式的 Ad
14、ministrator 密码”页上,键入并确认还原模式密码,然后单击“下一步”。对于必须脱机执行的任务,此密码可用于在目录服务还原模式下启动 AD DS。密码的复杂性和长度必须符合域安全策略。9. 在“摘要 ”页上,检查您的选择。如有必要,请单击“上一步”更改任何选项。若要将选择的设置保存到答案文件以便以后自动执行 AD DS 操作,请单击“导出设置”。键入答案文件名,然后单击“保存” 。 确认所做选择正确无误之后,请单击“下一步” 安装 AD DS。10. 还可以选中“完成后重新启动 ”复选框使服务器自动重启,也可在收到系统提示后重启服务器完成对 AD DS 的安装。使用答案文件执行 ROD
15、C 分步安装使用以下过程为每一阶段的 RODC 安装创建一个答案文件。在第一个阶段中,您创建了一个 RODC 帐户。在下一阶段中,您将服务器关联到该帐户。在本示例中,还将安装 DNS 服务器和全局编录选项,但不强制这样做。对于 RODC 安装,站点名称是必须的。如果向 RODC 密码复制策略添加多个安全主体,则必须在单独的行上为每个安全主体指定正确条目(允许或拒绝的条目)。 有关无人参与安装选项(包括默认值、许可值和描述)的完整列表,请参阅 CreateDCAccount 操作和 UseExistingAccount 操作。创建 RODC 帐户使用以下过程创建 RODC 帐户。 管理凭据 若要
16、执行此过程,可以使用对此文本编辑器应用程序具有读写权限的任何帐户。创建用于创建 RODC 帐户的答案文件的步骤 1. 打开记事本或任何其他文本编辑器。2. 在第一行上,键入 DCINSTALL,然后按 Enter。3. 键入下列条目,每行一个条目:; 只读域控制器安装 ReplicaDomainDNSName=FullyQualifiedDomainNameDCAccountName=RODCName; RODC 密码复制策略PasswordReplicationDenied=BUILTINAdministratorsPasswordReplicationDenied=“BUILTINServ
17、er Operators“PasswordReplicationDenied=“BUILTINBackup Operators“PasswordReplicationDenied=“BUILTINAccount Operators“PasswordReplicationDenied=DomainName“Denied RODC Password Replication Group“PasswordReplicationAllowed=DomainName“Allowed RODC Password Replication Group“PasswordReplicationAllowed=Gro
18、upName1PasswordReplicationAllowed=GroupName2PasswordReplicationAllowed=User_Name1PasswordReplicationAllowed=Computer_Name1DelegatedAdmin=RODCAdministratorSiteName=SiteNameInstallDNS=YesConfirmGc=YesReplicationSourceDC=SourceDCName4. 将答案文件保存到安装服务器上,由 Dcpromo 从该位置调用,或将该答案文件保存到用于分发的网络共享文件夹或可移动介质。使用下表将答
19、案文件中的变量替换为适合您的组织的值。 占位符 描述 FullyQualifiedDomainName 在其中安装 RODC 的域的完全限定的域名 (FQDN)RODCName 将成为 RODC 的服务器的名称。 在任何人尝试将该服务器关联到您所创建的帐户之前,必须用此处指定的名称命名该服务器,并且不得将该服务器加入域中。DomainName 在其中安装 RODC 的域的单标签 DNS 名称或 FQDN。GroupName1、 GroupName2、 User_Name1、 Computer_Name1. 添加到密码复制策略的安全主体名称。 必须将帐户名包含在引号中。当指定移动用户的帐户时,还
20、要指定这些用户用来登录 RODC 的计算机帐户,如便携式计算机。 RODCAdministrator 您委派了 RODC 的安装和管理权限的帐户名称。只能指定一个用户或组。作为最佳操作,指定组的名称。然后,将您希望管理 RODC 的任何用户帐户添加到该组。 SiteName 要在其中安装 RODC 的站点的名称。SourceDCName 您从中复制域信息(安装伙伴)的域控制器的 FQDN。 创建答案文件之后,使用以下过程自动创建 RODC 帐户。 管理凭据 若要执行此过程,您必须以 Domain Admins 组或 Enterprise Admins 组的成员身份登录域控制器。使用答案文件创建
21、 RODC 帐户的步骤 在命令提示符下,键入以下内容,然后按 Enter:dcpromo.exe /CreateDCAccount /unattend:“ 到答案文件的路径 “ 将服务器关联到 RODC 帐户使用以下过程创建可以用来将服务器关联到 RODC 帐户的答案文件。 创建用于将服务器关联到 RODC 帐户的答案文件的步骤 1. 打开记事本或任何其他文本编辑器。2. 在第一行上,键入 DCINSTALL,然后按 Enter。3. 键入下列条目,每行一个条目:; 只读域控制器安装ReplicaDomainDNSName=FullyQualifiedDomainNameUserDomain=
22、FullyQualifiedDomainNameUserName=DomainNameUser_NamePassword=*DatabasePath=PathToDatabaseLogPath= PathToLogFilesSYSVOLPath= PathToSYSVOL; 使用答案文件之前,将 SafeModeAdminPassword 设置为正确的值SafeModeAdminPassword=; CriticalReplicationOnly=YesRebootOnCompletion=Yes4. 将答案文件保存到安装服务器上,由 Dcpromo 从该位置调用,或将该答案文件保存到用于分发
23、的网络共享文件夹或可移动介质。使用下表将答案文件中的变量替换为适合您的组织的值。 占位符 描述 FullyQualifiedDomainName 在其中安装 RODC 的域的 FQDN。对于 UserDomain,输入将用来安装域控制器的用户名(帐户凭据)的域名。DomainNameUserName 具有将服务器关联到 RODC 帐户的权限的用户凭据(采用 Windows NT 格式)。 作为最佳操作,该用户应该是已被委派了 RODC 的安装和管理权限的安全组成员。如果没有指定用户,则只有 Domain Admins 组或 Enterprise Admins 组的成员才能执行该操作。PathT
24、oDatabase 目录数据库的位置,例如,C:WindowsNTDS。PathToLogFiles 数据库日志文件的位置,例如,C:WindowsNTDS。PathToSYSVOL SYSVOL 共享文件的位置,例如,C:WindowsSYSVOL。创建答案文件之后,使用以下过程自动将服务器关联到 RODC 帐户。开始此过程之前,必须用 RODC 帐户的名称命名该服务器,并且该服务器不得加入域中。 管理凭据 使用以下过程将服务器关联到 RODC 帐户。由于服务器未加入域中,因此请以本地管理员身份登录服务器。 使用答案文件将服务器关联到 RODC 帐户的步骤 在命令提示符下,键入以下内容,然后
25、按 Enter:dcpromo.exe /UseExistingAccount:Attach /unattend:“通过在命令行输入安装参数执行 RODC 分步安装尽管我们建议使用 Windows 界面创建 RODC 帐户,因为这样会减少键入错误的机会,但是您也可以通过以下过程从命令行使用无人参与安装参数创建 RODC 帐户。 管理凭据 若要执行此过程,您必须以 Domain Admins 组或 Enterprise Admins 组的成员身份登录域控制器。通过在命令行输入无人参与安装参数创建 RODC 帐户的步骤 1. 在命令提示符下,键入以下内容,然后按 Enter:复制代码 dcprom
26、o /unattend /CreateDCAccount /ReplicaDomainDNSName: /DCAccountName: /SiteName: /: /: .其中: 是在其中创建 RODC 帐户的域名称。 是要创建的 RODC 帐户的名称。 是要在其中创建 RODC 帐户的站点名称。 是 CreateDCAccount 操作表中的一个选项。用空格将每个 : 对分开。 是该选项的配置说明以下示例借助其他安装选项在 Default-First-Site-Name 站点的 域中创建一个名为 RODC10 的 RODC 帐户:复制代码 dcpromo /CreateDCAccount
27、/ReplicaDomainDNSName: /DCAccountName:RODC10 /SiteName:Default-First-Site-Name /SourceDC:DC /PasswordReplicationDenied=BUILTINAdministrators /PasswordReplicationDenied=“BUILTINServer Operators“ /PasswordReplicationDenied=“BUILTINBackup Operators“ /PasswordReplicationDenied=“BUILTINAccount Operators
28、“ /PasswordReplicationDenied=“ContosoDenied RODC Password Replication Group“ /PasswordReplicationAllowed=“ContosoAllowed RODC Password Replication Group“ /PasswordReplicationAllowed=“Group Name1“ /PasswordReplicationAllowed=“Group Name2“ /PasswordReplicationAllowed=“User Name1“ /PasswordReplicationA
29、llowed=ComputerName1 /DelegatedAdmin=BranchAdminGroup2. 键入完创建 RODC 帐户所需的所有选项之后,按 Enter。创建 RODC 帐户之后,在将成为 RODC 的服务器上执行以下过程以将该服务器关联到 RODC 帐户。 管理凭据 由于服务器未加入域中,因此请以本地管理员身份登录服务器。 通过在命令行输入无人参与安装参数将服务器关联到 RODC 帐户的步骤 1. 在命令提示符下,键入以下内容,然后按 Enter:复制代码 dcpromo /unattend /UseExistingAccount:Attach /ReplicaDomainDNSName: /UserDomain: /UserName: /password:* /: /: .其中: 是在其中安装 RODC 的域的 FQDN。对于 /UserDomain,输入将用来安装域控制器的用户名的域名(帐户凭据)。 是具有将服务器关联到 RODC 帐户权限的用户的帐户凭据(采用 Windows NT 格式)。
