Read-only domain controller — технология, которая появилась в серверной операционной системе еще в 2008 году. Как видно из названия, этот тип сервера предназначен для считывания данных службы каталогов Active Directory. Но это далеко не единственное его назначение.
Особенности RODC
Одной из главных отличительных черт такого типа контроллера от доступного для записи RDWC является безопасность хранения информации «Активного каталога», редактировать или удалить данные которого для пользователей становится невозможно. RODC не копирует информацию, находящуюся в «Системном томе», но содержит все сведения Active Directory, кроме атрибутов FAS, к которым относятся хеш-функции логинов, паролей, ключей. Регулятор также способен оптимизировать работу пользователей, кэшируя их учетные данные.
Для установки контроллера домена RODC потребуется правильная настройка брандмауэра либо его отключение в целях свободного движения трафика в сети. Кроме этого, IP сервера должен быть статическим.
Способы инсталляции RODC
С помощью Server Manager
Интерфейс консоли данной версии ОС несколько отличается от экрана установки контроллера домена 2012 года.
- Для начала нужно найти на панели вкладку «Server Roles», где активировать RODC в «Доменной службе» AD. Для этого требуется выставить флажок напротив «Active Directory Domain Services», следом указав, что новый сервер необходимо приобщить к существующей компьютерной сети
-
- Теперь в окне «Domain Controller Options» нужно настроить активность системы доменных имен сервера, Global Catalog и регулятора сети. Также следует определить пароль доступа в режим восстановления «Службы каталогов» — Directory Services Restore Mode.
- Переходим к настройкам самого контроллера. Здесь можно отметить пользователей сети, которые будут обладать административным доступом к RODC, и отключить репликацию паролей для других.
- В следующем окне выбираем, с каких доменных контроллеров будет реплицироваться информация. Рекомендуем выставить опцию «Any domain controller».
- Следующим шагом станет указание программе пути к базе данных «Службы каталогов» — NT Directory Service, в том числе системной папке «Sysvol», включающей ресурсы входа в компьютерную сеть и «Службу репликации файлов».
На этом подготовка к установке завершена. Сохраняем настройки и начинаем процедуру активирования RODC. В случае успеха останется лишь перезагрузить устройство.
При помощи PowerShell
Установка контроллера домена Windows может осуществляться и через командную строку.
- Первым шагом станет утверждение роли «Доменной службы» AD.
Add-WindowsFeature AD-Domain-Services, RSAT-AD-AdminCenter, RSAT-ADDS-Tools
- После этого запускаем процесс установки.
Install-ADDSDomainController -ReadOnlyReplica -DomainName yourdomain.com -SiteName
"Default-First-Site-Name" -InstallDns:$true -NoGlobalCatalog:$false
- По окончании инсталляции понадобится перезагрузка DC. Проверить корректность работы можно также через PowerShell.
Get-ADDomainController -Identity S2016VMLT
Если параметр «IsReadOnly» приобрел значение «True», то RODC работает правильно.