準備總部網域控制站

以下程序說明如何設定執行 Active Directory 網域服務 (AD DS) 的總部網域控制站 (HQ DC),以便使用位於分公司的唯讀網域控制站 (RODC) 運作。 本主題假設您已為自己的組織設定網域控制站。

任何網域使用者都可確認目前的樹系功能等級是否為 Windows Server 2008 或更高等級。 若要提高樹系功能等級,您必須是樹系根網域中的 Domain Admins 群組成員或 Enterprise Admins 群組成員。

確認樹系功能等級是 Windows Server 2008 或更高等級

  1. 開啟 Active Directory 網域及信任。

  2. 在主控台樹狀目錄中,以滑鼠右鍵按一下樹系名稱,然後按一下 [內容]

  3. 確認 [樹系功能等級] 底下的值為 [Windows Server 2008]

  4. 若有必要提高樹系功能等級,請在主控台樹狀目錄中,以滑鼠右鍵按一下 [Active Directory 網域及信任],然後按一下 [提高樹系功能等級]

  5. [選取可用的樹系功能等級] 中,依序按一下 [Windows Server 2008][提高]

此步驟會更新樹系中所有 DNS 應用程式目錄磁碟分割上的權限。 如此一來,就能讓同時是 DNS 伺服器的所有 RODC 成功複寫這些權限。 若要執行 adprep /rodcprep,您必須是 Enterprise Admins 群組的成員。

note附註:
  • 如果您要建立新的樹系,而且其中只有執行 Windows Server 2008 的網域控制站,便不必執行此步驟。

  • 如需有關此命令的詳細資訊,請參閱執行 Adprep.exe (http://go.microsoft.com/fwlink/?LinkID=142597)。

執行 adprep /rodcprep

  1. 以 Enterprise Admins 群組成員的身分登入網域控制站。

  2. 執行下列其中一個項目:

    • 針對 Windows Server 2008,請將 Windows Server 2008 安裝 DVD 上的 \sources\adprep 資料夾內容複製到架構主機。

    • 針對 Windows Server 2008 R2,請複製 Windows Server 2008 R2 安裝 DVD 上的 \support\adprep 資料夾內容。

  3. 開啟命令提示字元、將目錄變更為 adprep 資料夾、輸入下列命令,然後按 ENTER:

    adprep /rodcprep

RODC 必須從執行 Windows Server 2008 或 Windows Server 2008 R2 的可寫入網域控制站進行網域更新複寫作業。 安裝 RODC 之前,請務必在相同網域中安裝執行 Windows Server 2008 或 Windows Server 2008 R2 的可寫入網域控制站。 網域控制站可以執行這兩種 Windows Server 版本的完整安裝或 Server Core 安裝。 不論是哪一種版本,可寫入網域控制站均不需扮演主要網域控制站 (PDC) 模擬器作業主機角色。

如需有關執行 Windows Server 2008 的可寫入網域控制站逐步安裝程序詳細資訊,請參閱 Windows Server 2008 Active Directory 網域服務安裝及移除的逐步指南 (http://go.microsoft.com/fwlink/?LinkId=86716)。

使用 PrepareBranch.cmd 指令碼建立下列項目:

  • 網域中的新分公司組織單位。

  • 負責分公司系統管理工作的系統管理使用者帳戶。

  • 7 種 Forefront TMG SQL Server 和報告伺服器的安全性群組。

Warning警告:
請特別注意,RODC 上的所有系統管理使用者帳戶務必使用完整名稱。 錯字會造成 (what?)。

在 HQ DC 上建立分公司帳戶

  1. 在 HQ DC 上建立新目錄 (例如 c:\rodc)。

  2. 將下列文字複製到剪貼簿。

    @echo off REM           This script adds an organization unit for the new branch to the domain, REM           adds security groups for the TMG SQL server and reporting REM           and creates a user for branch administration
    
    if [%2]==[] goto :usage
    
    set SQLserverName=%1&rem set OrganizationUnitTree=%~2&rem set password=*&rem if NOT [%3]==[] set password=%3&rem
    
    REM Create the OU for the branch if it is not already created :VerifyOrCreateOU dsquery ou | findstr %OrganizationUnitTree% || ( echo The Organization Unit Tree %OrganizationUnitTree% was not found echo %OrganizationUnitTree% will be created within 10 seconds echo ***    If you do not want to create %OrganizationUnitTree% echo ***    Type Ctrl-C NOW !!! timeout /t 10 Echo Creating %OrganizationUnitTree% dsadd ou %OrganizationUnitTree% || goto :OUError goto :VerifyOrCreateOU )
    
    call :AddSecurityGroup "CN=SQLServer2005SQLBrowserUser$%SQLserverName%,%OrganizationUnitTree%"             "Group for SQL Server Browser in SQL Server 2008." call :AddSecurityGroup "CN=SQLServerMSSQLServerADHelperUser$%SQLserverName%,%OrganizationUnitTree%"        "Group for SQL Server Active Directory Helper in SQL Server 2008." call :AddSecurityGroup "CN=SQLServerMSSQLUser$%SQLserverName%$ISARS,%OrganizationUnitTree%"                "Group for SQL Server." call :AddSecurityGroup "CN=SQLServerMSSQLUser$%SQLserverName%$MSFW,%OrganizationUnitTree%"                 "Group for SQL Server." call :AddSecurityGroup "CN=SQLServerReportServerUser$%SQLserverName%$MSRS10.ISARS,%OrganizationUnitTree%"  "Group for SQL Server Reporting Services in SQL Server 2008." call :AddSecurityGroup "CN=SQLServerSQLAgentUser$%SQLserverName%$ISARS,%OrganizationUnitTree%"             "Group for SQL Server Agent." call :AddSecurityGroup "CN=SQLServerSQLAgentUser$%SQLserverName%$MSFW,%OrganizationUnitTree%"              "Group for SQL Server Agent." echo. echo    These groups are created: echo. dsquery group -name *%SQLserverName%* echo. dsadd user "CN=%SQLserverName%Admin,%OrganizationUnitTree%" -pwd %password% dsquery user "%OrganizationUnitTree%" exit /b 0
    
    
    :AddSecurityGroup REM Create security group in the DC Global scope for SQL set SQLgroupName=%1&rem set Description=%2&rem dsadd group %SQLgroupName% -secgrp yes -scope g -desc %Description% || ( echo      --- Failed to create the group %SQLgroupName% exit /b ) exit /b 0
    
    :usage echo    Add to the domain a security group for TMG on RODC echo. echo    Usage: %0 ^<Server name^> ^<OU Tree^> [password] echo. echo    Server name: The name of the RODC echo    OU Tree:     In DS format "OU=OU1,OU=OU2,DC=DCname,DC=DCname" echo    password:    optional password for the branch admin user echo    Example:     %0 B4-RODC "OU=Branch4,OU=Branches,DC=YRHQ,DC=Local" p@$$w0rd echo    Hint   :     Run "dsquery ou" to get a list of the ^<OU Tree^>s echo. exit /b
    
    :OUError echo. echo    Error %errorlevel% echo    Cannot create the OU %OrganizationUnitTree% echo    because the containing OU cannot be located echo. exit /b
    
  3. 開啟 [記事本],然後貼上文字。 將檔案存為 PrepareBranch.cmd

  4. 在命令提示字元下輸入 dsquery ou,然後按 ENTER。 記錄組織單位語法,範例如下: "OU=Branches,DC=DC1,DC=DC2".

  5. 以下列語法執行 PrepareBranch 命令:

    c:\rodc\PrepareBranch.cmd <name of RODC server> “OU=<name of branch you're creating>,OU=<parent branch>,DC=(name of DC1),DC=(name of DC2)" [RODC branch admin password].

    Tip提示:
    • 例如 PrepareBranch.cmd "OU=B1,OU=Branches,DC=DC1,DC=DC2" [Pa$$word1]

    • 如果您要建立眾多分公司,建議您為所有分公司建立標準化模式。 如此一來,當您修改各分公司的回應檔案時,即可降低錯誤機率。

    PrepareBranch 命令會在 AD DS 中建立新的分支,然後新增 RODC 管理帳戶和 7 種安全性群組。 請為具備 RODC 的每一個分公司執行此命令。

    note附註:
    系統會建立下列安全性群組和管理使用者,以便用來複寫到 RODC (其中 <RODC 伺服器名稱> 便是 RODC 伺服器的名稱):

    • <RODC 伺服器名稱>Admin

    • SQLServer2005SQLBrowserUser$<RODC 伺服器名稱>

    • SQLServerMSSQLServerADHelperUser$<RODC 伺服器名稱>

    • SQLServerMSSQLUser$<RODC 伺服器名稱>$ISARS

    • SQLServerMSSQLUser$<RODC 伺服器名稱>$MSFW

    • SQLServerReportServerUser$<RODC 伺服器名稱>$MSRS10.ISARS

    • SQLServerSQLAgentUser$<RODC 伺服器名稱>$ISARS

    • SQLServerSQLAgentUser$<RODC 伺服器名稱>$MSFW

    Important重要事項:
    當您設定分支伺服器電腦時,請務必使用您在此指定的完整名稱。

在 Active Directory 中預先建立 RODC 分公司帳戶,即可將分公司的伺服器附加到帳戶。 您可以使用 Active Directory 網域服務安裝機靈,預先建立單一的 RODC 伺服器帳戶或以分公司的組態產生回應檔案,以便簡化建立多個帳戶的作業。

預先建立 RODC 帳戶

  1. 依序按一下 [開始][系統管理工具][Active Directory 使用者和電腦]

  2. 如果您在執行 PrepareBranch.cmd 時並未提供密碼,請瀏覽到您在上一個程序中建立的組織單位 (通常位於 [分支] 底下),然後以滑鼠右鍵按一下系統管理帳戶,接著再按一下 [重設密碼] 以設定密碼並啟用新的系統管理帳戶。

  3. 以滑鼠右鍵按一下 [網域控制站] 並選取 [預先建立唯讀網域控制站帳戶]

  4. [歡迎使用 Active Directory 網域服務安裝精靈] 頁面上選取 [使用進階模式安裝],然後按 [下一步]

  5. [網路認證] 頁面上,按一下 [請指定用來執行安裝的帳戶認證] 底下的 [我目前登入的認證] [...\administrator],然後按 [下一步]

  6. [作業系統相容性] 頁面上,檢閱有關 Windows Server 2008 和 Windows Server 2008 R2 網域控制站預設安全性設定的警告訊息,然後按 [下一步]

  7. [網路認證] 頁面上,按一下 [請指定用來執行安裝的帳戶認證] 底下的 [我目前登入的認證] 或 [備用認證],然後按一下 [設定]。 在 [Windows 安全性] 對話方塊中,提供可安裝其他網域控制站的帳戶使用者名稱和密碼。 若要安裝其他網域控制站,您必須是 Enterprise Admins 群組或 Domain Admins 群組的成員。 提供認證後,請按 [下一步]

  8. [指定電腦名稱] 頁面上,輸入您要設為 RODC 的伺服器電腦名稱,然後按 [下一步]

    Caution警告:
    您輸入的名稱必須與您在執行 PrepareBranch.cmd 時所提供的名稱一致。

  9. [選擇網站] 頁面上,按一下 RODC 的 Active Directory 網站,然後按 [下一步]

  10. [其他網域控制站選項] 頁面上,確認所有核取方塊均已選取 (依預設選取),然後按 [下一步]

  11. [指定密碼複寫原則] 上按一下 [新增]

  12. 按一下 [允許將帳戶的密碼複寫至此 RODC]

  13. 按一下 [進階],然後按一下 [立即尋找] 以顯示帳戶。

  14. 按住 CTRL 鍵,同時按一下指令碼建立的帳戶 (1 個系統管理使用者和 7 個群組),然後按兩次 [確定]

    note附註:
    例如:

    • B2-RODCAdmin

    • SQLServer2005SQLBrowserUser$B2-RODC

    • SQLServerMSSQLServerADHelperUser$B2-RODC

    • SQLServerMSSQLUser$B2-RODC$ISARS

    • SQLServerMSSQLUser$B2-RODC$MSFW

    • SQLServerReportServerUser$B2-RODC$MSRS10.ISARS

    • SQLServerSQLAgentUser$B2-RODC$ISARS

    • SQLServerSQLAgentUser$B2-RODC$MSFW

    確認您已選取正確的系統管理帳戶和安全性群組,然後按 [下一步]

  15. [RODC 安裝與管理的委派] 頁面上,輸入分公司 RODC 系統管理使用者的名稱。

    Tip提示:
    您可以依序按一下 [設定][進階][立即尋找],藉此尋找使用者帳戶並避免打錯字。

  16. 如果您只需準備單一分公司,請按兩次 [下一步],然後按一下 [完成]。 如此一來,此使用者便能將伺服器附加到 RODC 帳戶並完成 RODC 安裝。

  17. 如果您要準備眾多分公司,則可進行下列動作:

    1. 按一下 [匯出設定] 以產生 dcpromo 回應檔案。 輸入回應檔案的名稱,然後按一下 [儲存]

    2. 取消精靈。

    3. 在文字編輯器中開啟 dcpromo 回應檔案,然後複製 Usage 底下的命令語法。

      例如 Dcpromo.exe /CreateDCAccount /ReplicaDomainDNSName:YRHQ.Local /unattend:C:\RODC \PreCreateRODC_<filename.txt>

    4. 在命令提示字元中貼入語法並按下 ENTER,為您剛設定的分公司建立 RODC 帳戶。

    5. 如果有其他分公司,請根據各分公司的詳細資料,修改其回應檔案。 請以各分公司的詳細資料取代下列內容:

      • DCAccountName

      • DelegatedAdmin

      • 包含 RODC 伺服器名稱的任一行。

      舉例而言,假設第一個回應檔案將 DCAccountName 稱為「B2-RODC」,而您要修改該檔案以預先建立一個稱為 B3-RODC 的分支。 在大部分的情況下,只要運用簡單的搜尋和取代,即可處理完所有需要修改的行。

下一個步驟是開始設定您的分支伺服器。 如需有關安裝 Windows Server 2008 R2 (如果您尚未完成安裝作業) 以及如何將伺服器設為 RODC 的資訊,請參閱準備 RODC

顯示: