109.451.880 pregleda lekcija
26.973 pregleda lekcija danas
490.649 pokretanja testova
1.538.118 pregleda pdf dokumenata
109.451.880 pregleda lekcija
26.973 pregleda lekcija danas
490.649 pokretanja testova
1.538.118 pregleda pdf dokumenata
Read Only Domain Controllers - RODC su dodatni domenski kontroleri koji kopiraju - tj. repliciraju bazu podataka sa Primarnog Domenskog Kontrolera - PDC-a i ta baza podataka se na njima ne može menjati. RODC domenski kontroleri su namenjeni udaljenim kancelarijama - filijalama (Branch Office), koje se odlikuju smanjenom fizičkom sigurnošću, manjom propusnom moći mreže, i koje imaju manje IT stručnjaka na raspolaganju, a uloga im je da pružaju mogućnost autentifikacije korisnika bez dodatnog mrežnog saobraćaja prema PDC-u preko WAN-a (Wide Area Network) što povećava brzinu same autentifikacije korisnika i rasterećenje mreže.
Windows Server 2008 nudi novi način za instalaciju domenskog kontrolera u Branch Office scenariju. Ovaj instalacioni proces nam dopušta da izgradimo Read-only Domenski kontroler (RODC) u Branch kancelariji iz dve faze. Prvo u Aktivnom Direktorijumu kreiramo nalog za RODC. Nakon kreiranja naloga, potrebno je da naznačimo korisnički nalog koji će da instalira i administrira RODC. Delegirani RODC administrator može da odradi instalaciju povezivanjem (Attaching) servera sa RODC nalogom koji je kreiran za njega. Ovo eliminiše potrebu korišćenja Staging sajta za izgradnju Branch Office domenskih kontrolera ili korišćenja prava domenskog administratora za izgradnju RODC u Branch kancelariji.
Kada instaliramo RODC, potrebno je imati na umu sledeće:
Najbolja vežba je izgradnja RODC na Server Core instalaciji Windows Server 2008. Server Core instalacija nudi minimalno okruženje za startovanje specifičnih serverskih uloga, što povećava mrežnu sigurnost smanjujući površinu mogućih napada na te uloge servera (Server Roles). U ovom slučaju, minimalno znači da je smanjeno korišćenje memorije i prostora na disku u toku Server Core instalacije. Kao dodatak, Server Core instalacija ne nudi GIU (grafički korisnički Interface).
Da bismo instalirali Server Core instalaciju Windows Server 2008, potrebno je odraditi Unattended instalaciju. Server Core instalacije podržava sledeće uloge servera:
U operativnom sistemu Windows Server 2008, administrator može da doda ulogu Active Directory domenskog kontrolera startovanjem Active Directory Domain Services Installation Wizard-a na sledeće načine:
Add Roles Wizard instalira fajlove koji su potrebni za instalaciju i konfiguraciju Active Directory Domain Services (AD DS) na serveru, ali ne startuje AD DS instalaciju. Nakon kompletiranja Add Roles čarobnjaka, potrebno je da kliknemo na link da bismo startovali Active Directory Domain Services Installation Wizard.
Možemo da kliknemo na Start pa zatim klik na Run. U Run dijalog boksu upišemo Dcpromo.exe a kao alternativu možemo da upišemo dcpromo na komandnoj liniji kao i u ranijim verzijama Windows Server operativnih sistema.
Nove opcije za startovanje Unattended instalacije AD DS su takođe dotsupne u Windows Server 2008. Unattended instalacija u Windows Server 2008 nikad ne zahteva odgovore na pitanja koja se postavljaju kroz korisnički Interface kao što je na primer potreba za restartovanjem domenskog kontrolera. Moramo da koristimo Unattended instalaciju da bismo instalirali AD DS na Server Core instalaciji Windows Server 2008. Server Core instalacija je nova instalaciona opcija za Windows Server 2008 koja ne nudi UI opcije, kao što su Active Directory Domain Services Installation Wizard.
Član Domain Admins grupe, može da kreira Read-only nalog za domenskog kontrolera (RODC) koristeći Active Directory Users and Computers Snap-in. Ili desnim klikom na Domain Controllers kontejner ili klikom na Domain Controllers kontejner i klik na Action i nakon toga klik na Pre-Create Read-Only Domain Controller Account. Delegirani RODC administrator može da odradi sledeći korak u RODC instalaciji startovanjem Active Directory Domain Services Installation Wizard na serveru da bi povezao server sa RODC nalogom.
1. Pre nego što započnemo instalaciju RODC-a, potrebno je da podesimo mrežnu konektivnost i da budemo sigurni da je PDC dostupan na mreži, što možemo da proverimo komandom ping <IP adresa PDC-a>. Klikom na Add roles u Initial Configuration Tasks ili u Server Manager-u kao i upisivanjem dcpromo.exe u dijalogu RUN, započinje instalacioni proces AD DS. Budući da u ovom slučaju instaliramo Read Only Domain Controller, čekiraćemo opciju Use advanced mode installation (Slika 1).
Slika 1
2. U ovom koraku nas čarobnjak obaveštava o kompatibilnosti operativnih sistema i zahteva dva nivoa sigurnosti: potpisivanje Server Message Block-a (SMB) i šifrovanje i potpisivanje sigurnog kanala mrežnog saobraćaja (Secure Channel Network Traffic) (Slika 2).
Slika 2
3. Kao i u primeru iz prve lekcije, u ovom trenutku je potrebno da naznačimo da je domenski kontroler novi DC u postojećoj domenskoj šumi - Existing forest, i da dodajemo novi domenski kontroler u postojeći domen - Add a domain controller in an existing domain (Slika 3).
Slika 3
4. Na ovom mestu je potrebno da unesemo ime domena iz koga će biti preuzeti kredencijali, kao i da navedemo kredencijale tj. Username i Password korisnika (Enterprise admin) koji je ovlašćen za ovu operaciju. Budući da u ovom slučaju lokalni ../administrator računara koji smo unapred nazvali RODC1/administrator nema ovlašćenja za promociju u domenski kontroler za dati domen, ova opcija zatamnjena i onemogućena (Slika 4a), a pritiskom na dugme Set biramo odgovarajući nalog iz Aktivnog Direktorijuma naznačenog domena: link-group\administrator (Slike 4b i 4c)
Slika 4a
Slika 4b
Slika 4c
5. Ukoliko u domenskoj šumi postoji više poddomena, u ovom koraku je potrebno izabrati odgovarajući domen za dodatnog domenskog kontrolera (Slika 5a), a u sledećem koraku je potrebno naznačiti odgovarajući sajt na kome će se nalaziti dodatni domenski kontroler. Podsetimo se ukratko da izraz sajt (site) označava fizičku tj. geografsku lokaciju koja može biti različita u okviru jednog domena i koja ostvaruje konekciju sa PDC-om najčešće preko WAN-a - Wide Area Network (Slika 5b).
Slika 5a
Slika 5b
6. U sledećem koraku se traži da navedemo dodatne opcije za Domenski kontroler: DNS server tj. da li će i na ovom serveru biti instalirana uloga DNS servera što ćemo u našem slučaju i uraditi; Global catalog, opcija koju ćemo ostaviti nečekiranu zato što je ova uloga već dodeljena PDC-u; i Read Domain Only Controller (RODC) opcija koju ćemo izabrati u našem slučaju (Slika 6).
Slika 6
7. Sledi odabir lozinki korisnika koje će moći da se repliciraju na RODC (Slika 7).
Slika 7
8. U ovom trenutku je potrebno navesti nalog delegiranog korisnika ili grupe korisnika koji mogu da dodaju ovaj server/kompjuter nalogu RODC kako bi priveli kraju njegovu instalaciju, ova opcija se odnosi na scenario Staged instalacije RODC-a, a nalozi delegiranih korisnika će imati lokalne administrativne dozvole na ovom RODC-u (Slika 8a). Klik na dugme Set nakon čega će se otvoriti dijalog Select User or Group (Slika 8b), u koji ćemo upisati početna slova imena korisnika kojeg delegiramo, pa zatim klik na dugme Check Names koje otvara dijalog sa odgovarajućim imenima korisnika (Slika 8c), a mi smo u ovom slučaju izabrali trenutno jedinog korisnika Administrator.
Slika 8a
Slika 8b
Slika 8c
9. U ovom koraku ukazujemo na server ili mesto sa koga će se replicirati tj. kopirati AD DS baza podataka, pa to može da bude naznačeni domenski kontroler - Replicate data over network from na existing domain controller ili može da bude direktno baza podataka NTDS koja je prethodno snimljena na nekoj lokaciji, lokalno ili na mreži (Slika 9).
Slika 9
10. Pošto smo u prethodnom koraku izabrali replikaciju sa postojećeg domenskog kontrolera, u ovom koraku možemo da izaberemo neki specifičan domenski kontroler od izlistanih domenskih kontrolera sa koga želimo da naš RODC preuzme bazu podataka - Use this specific domain controller ili da prepustimo čarobnjaku da sam odluči sa kog DC-a će prekopirati bazu podataka - Let the wizard choose an appropiate domain controller, što smo i izabrali u ovom slučaju jer u ovom domenu trenutno postoji samo jedan domenski kontroler (Slika 10).
Slika 10
11. Kao i u primeru iz prve lekcije, slede dva poznata instalaciona koraka koji od korisnika traže da navede mesto gde će baza aktivnog direktorijuma NTDS, log fajlovi (dnevnici) i SYSVOLUME biti instalirani, a mi ćemo se podsetiti da je ove fajlove pametno snimiti na nesistemsku particiju kako ih ne bismo izgubili u slučaju kvara operativnog sistema (Slika 11a), kao i da navede DSRM administratorsku lozinku (Slike 11b).
Slika 11a
Slika 11b
12. Sledi prikaz podešene konfiguracije RODC-a (Summary) koja se pomoću dugmeta Export settings može snimiti u tekstualnu datoteku i koristiti kao Answer fajl za instalaciju drugih domenskih kontrolera (Slika 12a), zatim prikaz prepisivanja tj. replikacije baze podataka sa PDC-a koja u zavisnosti od izabranih opcija i domenskog okruženja može da potraje i do nekoliko sati (Slika 12b) kao i finalni prozor sa potvrdom o instalaciji AD DS-a i nekim dodatnim informacijama (Slika 12c).
Slika 12a
Slika 12b
Slika 12c
Prva faza u instalaciji je kreiranje naloga za RODC u AD DS. Sledeća faza u instalaciji je povezivanje servera koji će biti RODC i naloga koji smo ranije kreirali.
U toku prve faze, Active Directory Domain Services Installation Wizard zapisuje sve podatke koji se odnose na RODC i smešta ih u distributivnoj AD bazi podataka, kao što su RODC ime naloga domenskog kontrolera i sajt u kojem će RODC biti smešten. Ovu fazu instalacije mora da izvrši član grupe Domain Admins.
Korisnik koji kreira RODC nalog, takođe može da odredi koji će korisnici moći da odrade sledeće korake u instalaciji. Sleća faza u instalacionom procesu može da se odradi u manjoj kancelariji (Branch Office) i može da je odradi bilo koji korisnik koji poseduje delegirano pravo za završetak i kompletiranje instalacionog procesa. Ova faza ne zahteva od korisnika da bude član bilo koje ugrađene grupe, kao što je na primer grupa Domain Admins. Ako korisnik koji je kreirao nalog za RODC nije delegirao pravo na korisnika koji bi trebalo da kompletira instalaciju RODC, samo članovi grupa Domain Admins & Enterprise Admins mogu da završe instalaciju RODC.
U toku druge faze instalacije, čarobnjak instalira AD DS na serveru koji bi trebalo da postane RODC. Ova faza nastaje u manjim kancelarijama u kojima treba da se izgradi RODC. U toku ove faze, svi AD DS podaci koji su lokalni, kao što su baza podataka, Log File-ovi itd, kreiraju se na RODC. Instalacioni izvorni File-ovi mogu da se repliciraju na RODC sa drugog domenskog kontrolera preko mreže ili možemo da iskoristimo karakteristiku Install From Media (IFM). Kada koristimo IFM, koristimo Ntdsutil.exe za kreiranje medijuma za RODC instalaciju. Za više informacija o korišćenju IFM pogledajte Windows Server 2008 Help.
Kada organizacija koristi instalaciju u fazama, ona može da implementira domenski kontrolera u manjoj kancelariji efikasnije nego što je to bio slučaj sa ranijim verzijama Windows servera. Na primer, član Domain Admins grupe u centralnoj lokaciji može da kreira RODC nalog u AD DS. Ova faza u instalaciji može da kompletira sve Deployment zadatke koji zahtevaju Domain Admins prava (prava domenskog administratora) kao što su kreiranje kompjuterskog naloga za novi domenski kontroler, određivanje sajta i kreiranje NTDS Settings objekta za server.
Kada član Domain Admins grupe kreira RODC nalog, on ili ona može da odradi proces delegiranja prava za određenog korisnika ili grupu korisnika koji im daju potrebna prava i dozvole kako bi mogla da se kompletira RODC instalacija u manjoj kancelariji.
Pre početka instalacije RODC, moramo prvo da pripremimo našu šumu domena pokretanjem adprep /rodcprep.
Nakon toga možemo da kreiramo RODC nalog koristeći Active Directory Users and Computers Snap-in. U konzolnom drvetu, desni klik na organizacionu jedinicu Domain Controllers i kliknemo na Pre-Create Read-only Domain Controller Account.
Takođe, možemo da kreiramo RODC nalog startovanjem dcpromo na komandnoj liniji, ali komanda mora da odredi ime domena u kom želimo da instaliramo RODC. Potrebno je da otvorimo komandnu liniju i ukucamo sledeću komandu:
Dcpromo /CreateDCAccount /ReplicaDomainDNSName:DomainName
Nakon kreiranja RODC naloga, on se pojavljuje u Domain Controllers kontejneru kao Unoccupied Domain Controller sve dok ne povežemo server sa nalogom koji smo kreirali.
Nakon što je delegirani administrator dodelio statičku IP adresu i konfigurisao DNS klijentske postavke za server, on ili ona može da startuje Active Directory Domain Services Installation Wizard da bi povezao server u manjoj kancelariji sa postojećim RODC nalogom. Da biste povezali server sa postojećim nalogom, potrebno je da otvorimo komandnu liniju na serveru koji treba da postane domenski kontroler. Upišemo sledeću komandu i pristisnemo ENTER:Dcpromo /UseExistingAccount:Attach
Administrator koga smo delegirali je obavešten da su AD DS Binaries instalirani. Nakon toga, Active Directory Domain Services Installation Wizard automatski startuje sledeću fazu instalacije. Delegirani administrator može da doda /adv parametar u dcpromo komandi ili da selektuje Use Advanced Mode Installation Chek Boks na Welcome to the Active Directory Domain Services Installation Wizard stranici u čarobnjaku da bi odredio sledeće dodatne instalacione opcije:
RODC mora da replicira to jest da kopira podatke sa upisivog domenskog kontrolera koji je pod operativnim sistemom Windows Server 2008. Pre instalacije RODC-a, osigurajte se da je u domenu instaliran domenski kontroler sa izmenjivom bazom aktivnog direktorijuma. Domenski kontroler može da radi kako na punoj instalaciji operativnog sistema Windows Server 2008 tako i na Server Core instalaciji operativnog sistema Windows Server 2008. U OS Windows Server 2008, domenski kontroler sa izmenjivom bazom aktivnog direktorijuma ne mora da bude Primarni Domenski kontroler (PDC) emulator sa ulogom operations master.
Copyright © LINK group. Sva prava zadržana.
office@link.co.rs, +381.11.7856 140, +381.11.7856 100
Cara Dušana 34, 11080 Zemun, Beograd, Srbija
Powered by LINK CMS.