Conhecendo e Instalando o RODC

  • Artigo

Rover Marinho MCSE, MCSA, MCTS, MCITP, MCT, MVP Janeiro 2009

Tecnologias: Windows Server 2008

Sumário: Este artigo explica passo a passo como instalar um controlador de domínio somente leitura.

Conteúdo

arrow_up.gifIntrodução
arrow_up.gifPré-requisitos e Considerações
arrow_up.gifComo Instalar o ADDS
arrow_up.gifVerificando a Instalação do ADDS
arrow_up.gifConclusão
arrow_up.gifReferencias e Topicos Relacionados
arrow_up.gifSobre o Autor

Introdução

Nesta Coluna iremos explicar a nova função de Domain Controller no Windows Server 2008, onde temos o RODC (Read Only Domain Controller), controlador de domínio “sem poder” de escrita no Active Directory. Vamos conhecer todo processo de instalação e configuração do RODC.

Pré-Requisitos e Considerações

Algumas considerações tem de ser feitas sobre o RODC, abaixo descrevemos cada uma delas:

  • Preparação da Floresta para o RODC

Para instalarmos o RODC o primeiro passo a ser feito e utilizar a preparação da floresta utilizando o comando demonstrado abaixo:

  • Adprep /rodcprep (Disponível no DVD de Instalação do produto)

Domain Controller e GC em 2008

O RODC exige que pelo menos um DC esteja em modo 2008 com Global Catalog 2008. Não é possível instalar em uma nova floresta o RODC como o primeiro DC da floresta

  • Replicação de Dados :

A replicação de dados entre o RODC e o Dc da floresta conhecido como “Parent DC” pode ser escolhida, assim, você tem a possibilidade de escolher com quais DC`s você quer replicar o seu RODC.

  • Cache de Password de usuários:

A função de RODC não faz cache de password por default dos usuários do domínio, porém você pode habilitar o RODC para ter os passwords dos usuários autenticados, no caso de uma falha de conexão.

O RODC possui sua própria conta KDC KrbTGT para providenciar autenticação

  • Promoção de DC em RODC:

Não existe a possibilidade de você promover um DC normal em RODC, primeiro será necessário despromover o DC para promovê-lo como RODC. Os RODC`s não fazem parte dos grupos Enterprise-DC ou Domain-DC e tem permissões limitadas para gravação de dados na base do AD.

  • Read Only Partial Attribute Set:

Esta Opção previne que credenciais de programas sejam gravadas dentro do RODC

arrow_up.gifInício da página

Preparando a Floresta para o RODC

Todo o processo de instalação do RODC só é possível a partir do momento que estendemos o Schema do Active Directory, assim o domínio reconhecerá que as features do RODC poderão ser utilizadas na instalação do DC.

O Comando utilizado é ADPREP.exe /RODCPrep, segue na Figura1 abaixo:


Figura1 – Adprep para RODC

O resultado do comando da Figura1, vai gerar a Figura2, com os dados demonstrados da comitação de informação dentro do Schema do Active Directory.

1.JPG

Figura2 – Contexto do Adprep em Command Prompt

arrow_up.gif Início da página

Instalação do RODC

Após esta preparação citada na Figura2, temos a oportunidade de iniciar a instalação de nosso RODC, lembrando que para isto, basta clicar em RUN dentro do menu Start e digitar o comando DCPROMO.

Em seguida aparecerá a tela da Figura3, não esqueça de marcar a opção “Use Advanced Mode Installation”, em seguida clique em Next.

1.JPG
Figura3 – Utilizando o modo de Instalação Avançado

Na Figura4 podemos ver a tela de Aviso de compatibilidade, vale lembrar que a leitura das informações nesta tela ressaltam a operação que esta sendo feita e suas modificações no ambiente.

2.JPG
Figura4 – Tela de Compatibilidade

Temos agora a opção de Criarmos “um novo domínio na mesma floresta”, “Criar um novo domínio e nova Floresta”e a opção que marcaremos é “Existing Forest – Add a Domain Controller...”, assim vamos adicionar um DC dentro da mesma floresta conhecida como Shequinah.net, demonstrado na Figura6 conforme segue.

3.JPG
Figura5 – Tela de Deploy “Existing Forest”

4.JPG
**Figura6 – Tela de verificação de domínio

Abaixo na Figura7, podemos executar a promoção com credenciais diferentes da que estamos logados.


Figura7 – Alterando as credenciais para instalação

A tela da Figura8 demonstra os domínios encontrados, vamos confirmar a opção pelo domínio Shequinah.net.

5.JPG
Figura8 – Tela de verificação de Domínios

Esta nova etapa de instalação do DC no Windows 2008, poupa trabalho e agiliza a entrada de novos DC`s nos sites ao qual eles irão gerenciar, escolha o site ao qual este DC novo irá participar na tela demonstrada na Figura9, após isto clique em Next.

7.JPG
Figura9 – Tela de Sites and Service

A Figura10 também nos mostra outra novidade, que é a possibilidade de marcar na instalação a opção de Global Catalog e também de RODC, lembrando que a opção de RODC, apenas irá aparecer na promoção do 2º DC do domínio, para o primeiro DC do domínio a opção é desativada.

8.JPG
Figura10 – Escolha o RODC

Ao marcarmos a opção de RODC conforme Figura10, em seguida recebemos a tela da Figura11 onde podemos sincronizar os passwords dos usuários do RODC.


**Figura11 – Password Replication

Na Tela da Figura12, podemos delegar o poder de instalação e de gerenciamento a um grupo específico dentro do RODC.

10.JPG
Figura12 – Tela de Delegação de Grupos

Em muitos cenários temos o link entre as filiais de empresas com baixa velocidade, para isto a replicação na instalação de um novo DC, poderia levar horas e horas para ser finalizada, a Figura13 nos mostra a opção de instalarmos este RODC, com um backup de System State de outro DC, após a instalação o período de replicação de informações que acontece igual a Figura18, será apenas das diferenças do backup para o dia atual.

11.JPG
Figura13 – Tela de escolha de replicação de dados

Podemos escolher com qual DC nosso RODC irá replicar e buscar a sincronização de contas e passwords, segue abaixo na Figura14.

12.JPG
Figura14 – Tela de escolha do Parent DC

Quase ao final, marcamos o local onde serão gravados os Logs, Base e Pasta Sysvol do RODC, conforme demonstrado na Figura15.

13.JPG
Figura15 – Tela de Diretórios de Instalação

Não podemos esquecer de documentar a Senha colocada na Figura16. Esta senha será utilizada no momento de manutenção do Active Directory ou em caso de disaster recovery.

14.JPG
Figura16 – Tela de Directory Services Restore Mode

Ao Final verifique a opção Export Settings. Em caso de necessidade de instalação através de um Unattend Installation, basta clicar no botão Export Settings para ver o resultado de suas configurações. Segue exemplo no Quadro1.

15.JPG
Figura17 – Tela Summary com resumo de opções

Na Figura18 a replicação do Active Directory esta sendo feita, caso tenha optado por fazer uma instalação baseada em Backup do System State, neste momento o Wizard apenas sincronizará a diferença do NTDS entre o Backup e o dia atual.


Figura18 – Tela de replicação entre o RODC e o Parent DC

Quadro1 – Configurações Unattend para RODC

; DCPROMO unattend file (automatically generated by dcpromo)

; Usage:  dcpromo.exe /unattend:C:\Users\Administrator\Desktop\RODC - Unnatend.txt

; You may need to fill in password fields prior to using the unattend file,  If you leave the values for "Password" and/or "DNSDelegationPassword"

; as "*", then you will be asked for credentials at runtime.

[DCInstall]

; Read-Only Replica DC promotion

ReplicaOrNewDomain=ReadOnlyReplica

ReplicaDomainDNSName=shequinah.net

; RODC Password Replication Policy

PasswordReplicationDenied="BUILTIN\Administrators"

PasswordReplicationDenied="BUILTIN\Server Operators"

PasswordReplicationDenied="BUILTIN\Backup Operators"

PasswordReplicationDenied="BUILTIN\Account Operators"

PasswordReplicationDenied="SHEQUINAH\Denied RODC Password Replication Group"

PasswordReplicationAllowed="SHEQUINAH\Allowed RODC Password Replication Group"

PasswordReplicationAllowed="SHEQUINAH\RODC-Site1"

DelegatedAdmin="SHEQUINAH\G-RODC-Site1"

SiteName=Default-First-Site-Name

InstallDNS=Yes

ConfirmGc=Yes

CreateDNSDelegation=No

UserDomain=shequinah.net

UserName=shequinah.net\administrator

Password=*

ReplicationSourceDC=DC01.shequinah.net

DatabasePath="C:\Windows\NTDS"

LogPath="C:\Windows\NTDS"

SYSVOLPath="C:\Windows\SYSVOL"

; Set SafeModeAdminPassword to the correct value prior to using the unattend file

SafeModeAdminPassword=

; Run-time flags (optional)

; CriticalReplicationOnly=Yes

; RebootOnCompletion=Yes

**Quadro1 – Unattend File para Instalação de um RODC

Basta clicar em “Finish”conforme imagem da Figura19 para que o seu RODC entre em atividade no seu domínio, em seguida confirme para reiniciar conforme a Figura20, após o boot o RODC estará pronto para ser utilizado.

17.JPG
Figura19 – Finalizando a instalação


**Figura20 – Finalizando a instalação

arrow_up.gifInício da página

Conclusão

Neste tutorial aprendemos o que é o RODC e também todos os processos desde a preparação do ambiente até o momento de instalação do RODC, vale ressaltar também que todo RODC, tem poder de escrita limitado no Active Directory e não é um novo tipo de BDC (Backup Domain Controller).

Referências + Tópicos Relacionados

Para mais informações sobre o Windows Server 2008, acesse:
https://www.microsoft.com/windowsserver2008/en/us/default.aspx
https://www.microsoft.com/windowsserver2008/en/us/serverunleashed/default.html

http://www.microsfot.com/brasil/servidores

Sobre o Autor

Rover Marinho atua no mercado de infra-estrutura há 11 anos, especializando-se na área de infra-estrutura e produtos Microsoft. Trabalha como Gerente de Infraestrutura  e Instrutor na Brás & Figueiredo, onde atua com os produtos: Exchange, Isa Server, Cluster e Projetos Específicos. Grande ênfase na comunidade TechNet. Atua ministrando palestrar e Eventos de Produtos Microsoft, Rover Marinho é certificado Mcp, Mcsa, Mcse, Mct, Mcts e MVP.

arrow_up.gif Início da página