1、引用: http:/ RODC 的步骤更新时间: 2009 年 5 月应用到: Windows Server 2008本部分包含有关部署 RODC 的信息。除了列出可选任务之外,本部分还首先列出了必须执行的高级任务。该列表后面有详细的信息,包括有关管理凭据的信息以及执行其中一些任务所需的过程。 若要部署 RODC,必须完成以下高级任务: 确保林功能级别为 Windows Server 2003 或更高版本 运行 adprep /rodcprep 如果您新建的林只有运行 Windows Server 2008 的域控制器,则没有必要执行此步骤。 安装运行 Windows Server 2008
2、的可写域控制器 可选:将 RODC 安装在完整安装的 Windows Server 2008 上 -或者- 可选:将 RODC 安装在服务器核心安装上 可选:委派 RODC 安装 可选:从介质安装 RODC 可选:删除运行 Windows Server 2008 的域控制器 确保林功能级别为 Windows Server 2003 或更高版本管理凭据 任何域用户都可以验证当前的林功能级别是否是 Windows Server 2003 或更高版本。若要提升林功能级别,您必须是目录林根级域中 Domain Admins 组的成员或者 Enterprise Admins 组的成员。确保林功能级别为
3、Windows Server 2003 或更高版本的步骤 1. 打开“Active Directory 域和信任关系” 。2. 在控制台树中,右键单击林的名称,然后单击“属性” 。3. 在“林功能级别” 下,验证值是 Windows Server 2003 还是 Windows Server 2008。4. 如果有必要提升林功能级别,请在控制台树中,右键单击“Active Directory 域和信任关系” ,然后单击“提升林功能级别 ”。5. 在“选择一个可用的林功能级别”中,单击 Windows Server 2003,然后单击“提升”。 运行 adprep /rodcprep管理凭据 此
4、步骤更新林中所有 DNS 应用程序目录分区上的权限。这允许它们被也是 DNS 服务器的所有 RODC 成功复制。若要运行 adprep /rodcprep,您必须是 Enterprise Admins 组的成员。 运行 adprep /rodcprep 的步骤 1. 以 Enterprise Admins 组成员的身份登录到域控制器。 2. 将 Windows Server 2008 安装 DVD 中 sourcesadprep 文件夹的内容复制到架构主机。 3. 打开命令提示符,将目录更改为 adprep 文件夹,键入以下命令,然后按 Enter:adprep /rodcprep 安装运行
5、Windows Server 2008 的可写域控制器RODC 必须从运行 Windows Server 2008 的可写域控制器复制域更新。安装 RODC 之前,确保在同一域中安装运行 Windows Server 2008 的可写域控制器。域控制器可以运行完整安装或服务器核心安装的 Windows Server 2008。在 Windows Server 2008 中,可写域控制器不需要保留主域控制器 (PDC) 仿真器操作主机角色。有关安装运行 Windows Server 2008 的可写域控制器的详细信息以及循序渐进过程,请参阅 Windows Server 2008 Active
6、Directory 域服务安装和删除的循序渐进指南 (http:/ RODC 安装到完整安装的 Windows Server 2008 上您可以将 RODC 安装到完整安装的 Windows Server 2008 上或是服务器核心安装的 Windows Server 2008 上。可以采用各种方式启动 Active Directory 域服务安装向导。有关完整列表,请参阅 Windows Server 2008 Active Directory 域服务安装和删除的循序渐进指南 (http:/ 在域中安装了第一个 RODC 之后,留出足够的时间以便新的密码复制策略组复制到域中的其他域控制器,然
7、后再尝试安装其他 RODC。这样有助于防止在安装 RODC 期间由于组在源域控制器上不可用而发生错误。 管理凭据 若要将 RODC 安装在完整安装的 Windows Server 2008 上,您必须是 Domain Admins 组的成员。 将 RODC 安装在完整安装的 Windows Server 2008 上的步骤 1. 以 Domain Admins 组成员的身份登录到服务器。2. 单击“开始” ,键入 dcpromo,然后按 Enter 以启动 Active Directory 域服务安装向导。服务器可以属于某个工作组。如果您没有委派安装,则服务器也可以加入到您希望其成为 RODC
8、 的域中。备注 如果您在“欢迎使用 Active Directory 域服务安装向导”页上选中了“ 使用高级模式安装”复选框,则可以在安装 AD DS 期间配置 RODC 的密码复制策略和其他设置。在本指南中, 管理 RODC 的步骤提供了配置密码复制策略的过程。有关选中“使用高级模式安装” 复选框时可以配置的设置的完整列表,请单击“ 高级模式安装”帮助链接。 3. 在“选择某一部署配置” 页上,单击 “现有林”,单击“ 向现有域添加域控制器”,如下图所示,然后单击“下一步” 。4. 在“网络凭据 ”页上,键入计划安装 RODC 的林中域的名称。如有必要,还要键入 Domain Admins
9、组成员的用户名和密码,然后单击“下一步” 。5. 为 RODC 选择域,然后单击“下一步”。6. 单击 RODC 的 Active Directory 站点,如下图所示,然后单击“ 下一步 ”。7. 选中“只读域控制器 ”复选框,如下图所示。默认情况下, “DNS 服务器”复选框也是选中的。备注 若要在 RODC 上运行 DNS 服务器,运行 Windows Server 2008 的另一个域控制器必须正在域中运行并且承载 DNS 域区域。 RODC 上的 Active Directory 集成区域始终是区域文件的一个只读副本。将更新发送到中心站点中的 DNS 服务器,而不是在 RODC 上本
10、地进行。 8. 若要使用为 Active Directory 数据库、日志文件以及 SYSVOL 指定的默认文件夹,请单击“下一步”。 9. 键入然后确认目录服务还原模式密码,然后单击“下一步” 。10. 确认在“摘要”页上出现的信息,然后单击“下一步”以启动 AD DS 安装。您可以选中“完成后重新启动” 复选框使其余安装自动完成。可选:将 RODC 安装在服务器核心安装上管理凭据 这是一个可选任务。如果您选择将 RODC 安装在服务器核心安装的 Windows Server 2008 上,则您必须是 Domain Admins 组的成员或者您必须已经被委派了执行安装的能力。 若要将 ROD
11、C 安装在服务器核心安装的 Windows Server 2008 上,您必须执行 AD DS 的无人参与安装。以下过程包括在无人参与安装期间可以在答案文件中指定的参数。如果使用 dcpromo /unattend 命令,您还可以在命令行上指定这些参数。 有关 AD DS 的无人参与安装参数以及安装之后返回的退出代码的详细信息,请参阅 Windows Server 2008 Active Directory 域服务安装和删除的循序渐进指南 (http:/ RODC 安装在服务器核心安装的 Windows Server 2008 上的步骤 1. 安装另一台运行服务器核心安装的 Windows S
12、erver 2008 的服务器计算机。2. 将下列答案文件设置复制到文本文件。InstallDNS、PasswordReplicationAllowed、PasswordReplicationDenied 和 ReplicationSourceDC 设置是可选的。用您环境的正确信息替换占位符信息(为斜体)。然后用安装期间您将用于答案文件的名称保存该文本文件:DCInstall InstallDNS=Yes ConfirmGc=No CriticalReplicationOnly=No DisableCancelForDnsInstall=No PasswordReplicationAllowe
13、d= 允许将其成员的密码缓存在 RODC 上的组的名称 PasswordReplicationDenied= 不允许将其成员的密码缓存在 RODC 上的组的名称 Password= Domain Admin 密码 RebootOnCompletion=No ReplicaDomainDNSName= 域的 DNS 全名 ReplicaOrNewDomain=ReadOnlyReplica ReplicationSourceDC= 同一域中 Windows Server 2008 域控制器的名称SafeModeAdminPassword= 选择用于目录服务还原模式的适当密码 SiteName=
14、RODC 站点名称 UserDomain= DomainName UserName= Domain Admin 帐户名 备注 指定为 PasswordReplicationAllowed 和 PasswordReplicationDenied 的值的组必须已经存在。您必须使用 Windows NT 格式( domainuser_name 或 user_name)或使用用户主体名称 (UPN) 格式 (user_) 指定组。为每个附加组添加另一个条目。例如: PasswordReplicationAllowed=CN=AllowedGroup,OU=Users,DC=spruce,DC=exam
15、ple,DC=contoso,DC=comPasswordReplicationAllowed=CN=AllowedGroup2,OU=Users,DC=spruce,DC=example,DC=contoso,DC=com如果您不希望在安装期间指定任何组,请保留此条目为空白。 3. 在命令行上,键入以下命令,然后按 Enter:dcpromo /unattend: PathToAnswerFile 可选:委派 RODC 安装您可以执行 RODC 分步安装,该安装由两个阶段组成,分别由不同的人来完成。第一个安装阶段需要域管理凭据,此阶段在 AD DS 中为 RODC 创建一个帐户。第二个安装阶
16、段将远程位置(如分支机构)中将要成为 RODC 的实际服务器关联到先前为其创建的帐户。您可以委派将服务器关联到远程位置中非管理组或用户帐户的功能。 在安装的第一阶段中,向导记录将存储在分布式 Active Directory 数据库中有关 RODC 的所有数据,包括 只读域控制器帐户名以及它将要被放置到的站点。此阶段必须由 Domain Admins 组的成员执行。 创建 RODC 帐户的管理员也可以在此时指定哪些用户或组可以完成下一个安装阶段。只要任何用户或组在帐户创建时被委派了完成安装的权限,便可以在分支机构中执行下一个安装阶段。此阶段不要求内置组(例如 Domain Admins 组)中
17、的任何成员身份。如果创建 RODC 帐户的用户没有指定用于完成安装(和管理 RODC)的任何委派,则只有 Domain Admins 组或 Enterprise Admins 组的成员可以完成安装。 在第二个阶段中,向导在将成为 RODC 的服务器上安装 AD DS 并将该服务器关联到先前为其创建的域帐户。此阶段通常发生在部署 RODC 的分支机构或其他远程位置。在此阶段中,所有位于本地的 AD DS 数据(例如数据库、日志文件等)都在 RODC 自身上创建。可以将安装源文件通过网络从另一个域控制器中复制到 RODC,或者您也可以使用从介质安装 (IFM) 的功能。若要使用 IFM,请使用 N
18、tdsutil.exe 创建安装介质。 尝试将要成为 RODC 的服务器附加到 RODC 帐户之前,它不得加入域中。 作为安装过程的一部分,该向导会自动检测该服务器的名称是否与事先为该域创建的任何 RODC 帐户的名称匹配。如果向导发现匹配的帐户名称,它会提示用户使用该帐户来完成 RODC 安装。 您可以使用 Active Directory 用户和计算机管理单元创建 RODC 帐户。 备注 可以通过在命令提示符下键入 dcpromo 以及适当的参数或使用答案文件自动执行 RODC 的分步安装。有关自动安装的详细信息,请参阅 Windows Server 2008 Active Directo
19、ry 域服务安装和删除的循序渐进指南 (http:/ 使用 Windows 界面创建 RODC 帐户的步骤 1. 依次单击“开始 ”、“管理工具”和 “Active Directory 用户和计算机”。 2. 双击域控制器,然后右键单击“域控制器” 容器或单击“域控制器”容器,然后单击 “操作”。 3. 单击“预创建只读域控制器帐户 ”,如下图所示。4. 在“欢迎使用 Active Directory 域服务安装向导”页上,如果您想修改默认的密码复制策略,请选择 “使用高级模式安装” ,然后单击 “下一步 ”。5. 在“网络凭据 ”页上的“请指定用于执行安装的帐户凭据”下,单击“ 我的当前登录
20、凭据”,如下图所示,或单击“ 备用凭据” ,然后单击 “设置” 。在 “Windows 安全”对话框中,提供可用来安装其他域控制器帐户的用户名和密码。若要安装其他域控制器,您必须是 Enterprise Admins 组或 Domain Admins 组的成员。提供凭据后,单击“下一步” 。6. 在“指定计算机名称” 页上,键入将成为 RODC 的服务器的计算机名称。7. 在“请选择一个站点” 页上,从列表中选择站点,或在与运行该向导的计算机的 IP 地址相对应的站点中,选择用于安装域控制器的选项,然后单击“下一步” 。8. 在“其他域控制器选项” 页上,执行如下选择,如下图所示,然后单击“
21、下一步”: “DNS 服务器”:默认情况下选中该选项,以使您的域控制器可以用作 DNS 服务器。如果您不想将域控制器作为 DNS 服务器,请清除此复选框。但是,如果您没有在 RODC 上安装 DNS 服务器角色,并且该 RODC 是分支机构中唯一的域控制器,则分支机构中的用户将无法在中心站点的 WAN 脱机时执行名称解析。 “全局编录 ”:默认情况下选中该选项。它会将全局编录的只读目录分区添加到域控制器,并且将启用全局编录搜索功能。如果您不希望域控制器成为全局编录服务器,则清除该选项。但是,如果您没有在分支机构中安装全局编录服务器,或者没有为包含 RODC 的站点启用通用组成员身份缓存,则分支
22、机构中的用户将无法在中心站点的 WAN 脱机时登录域。 “只读域控制器” 。当创建 RODC 帐户时,该选项为默认选中且无法清除。9. 如果您选中了“欢迎使用” 页上的 “使用高级模式安装”复选框,则会出现 “指定密码复制策略”页。默认情况下,帐户密码不会复制到 RODC,并且明确拒绝安全敏感帐户(如 Domain Admins 组的成员)在任何时候将其密码复制到 RODC。 若要接受默认设置,请单击“下一步”。 -或者-若要向策略添加其他帐户,请单击“添加” 。如果您希望允许帐户将其密码复制到 RODC,则单击“允许该帐户的密码复制到此 RODC 中”。如果您希望拒绝帐户将其密码复制到 RODC,请单击“拒绝该帐户的密码复制到此 RODC 中”。然后单击“ 确定”。添加完其他帐户后,单击“ 下一步”。