Windows Server 2012 – Поднимаем RODC через PowerShell

Продолжаем перепечатку статей Алексея Максимова.

В одной из прошлых заметок я уже писал о проблеме выбора ближайшего RWDC при вводе в домен компьютера попадающего в сайт с RODC. В процессе перевода RODC на Windows Server 2012 на одной из удалённых площадок столкнулся с ситуацией, до боли напоминающей старую проблему… В процессе работы мастера повышения сервера до RODC при попытке выбрать в домене группу для Администраторов RODC или же группы для репликации паролей, диалоговое окно выбора доменных объектов не открывалось и возникала странная ошибка, говорящая о невозможности определения состояния RWDC находящегося совершенно “в другой степи” и не имеющего отношения ни к местному сайту ни к ближайшему RWDC.

image

Конечно можно было бы не менять настройки на этом шаге мастера и выполнить установку с настройками по умолчанию, а уже после окончания установки назначить группу Администраторов RODC и задать группы репликации паролей, но в голову пришла мысль о том, что выполнить повышение до RODC можно и с помощью PowerShell сразу указав при этом в явном виде все необходимые группы доступа. Собственно далее – небольшая шпаргалка как это сделать.

***

Если это ещё не сделано ранее, вводим компьютер в домен с привязкой процедуры джойна к конкретному ближайшему контроллеру домена RWDC с помощью командлета Add-Computer. Как видно из прошлой заметки, в Win7/2008R2 параметр -Server не работал как мы от него этого ожидали и приходилось указывать контроллер домена после имени домена таким образом:

-DomainName:»holding.com\Best-DC»

а вот в W8/WS2012 по словам моих коллег (сам я это не успел проверить) ситуация изменилась к лучшему и теперь мы можем использовать команду вида:

Add-Computer -DomainName:»holding.com»`

-Server:»Best-DC» `

-Credential:»HOLDING\admin» `

-OUPath:»OU=Servers,OU=TCIN,DC=holding,DC=com» `

-Verbose -PathThru

***

Перед тем как выполнять процесс повышения в системе должны быть активированы соответствующие фичи. Проверяем статус установки нужных компонент:

Import-Module«ServerManager»

Get-WindowsFeature «Ad-Domain-Services»,»DNS»

И если нужные компоненты не были установлены ранее, выполняем их установку:

Import-Module«ServerManager»

Add-WindowsFeature «Ad-Domain-Services»,»DNS» -IncludeManagementTools

***

Перед тем как повысить сервер до роли контроллера домена выполняем тестирование на предмет соблюдения всех необходимых условий:

$ADDSRestoreModePWD = (ConvertTo-SecureString «Passw0rd» -AsPlainText -Force)

Import-Module«ADDSDeployment»

Test-ADDSDomainControllerInstallation `

-DomainName «holding.com» `

-SafeModeAdministratorPassword $ADDSRestoreModePWD

image

Если все тесты прошли успешно, можно выполнить повышение сервера до RODC, при этом явно указав группы безопасности которые мы не могли выбрать в случае повышения через графический интерфейс.

$ADDSRestoreModePWD = (ConvertTo-SecureString «P@ssw0rd» -AsPlainText -Force)

Import-Module«ADDSDeployment»

Install-ADDSDomainController `

-DomainName «holding.com» `

-SiteName «tcin» `

-ReplicationSourceDC «Best-DC.holding.com» `

-SafeModeAdministratorPassword $ADDSRestoreModePWD `

-AllowPasswordReplicationAccountName @(«HOLDING\TCIN-RO-Users»,»Domain Computers») `

-DelegatedAdministratorAccountName «HOLDING\TCIN-RO-Admins» `

-InstallDns:$True `

-NoGlobalCatalog:$False `

-ReadOnlyReplica:$True `

-DatabasePath «C:\Windows\NTDS» `

-LogPath «C:\Windows\NTDS» `

-SysvolPath «C:\Windows\SYSVOL» `

-NoRebootOnCompletion:$False `

-Force:$True `

-Verbose

При выполнении в оболочке PowerShell ISE процесс будет выглядеть не менее информативно чем в случае использования GUI-мастера…

image

После окончания процесса наш сервер будет перезагружен и мы получим желаемый результат без последующих “допиливаний”

Дополнительные источники информации:

TechNet Library – Install a Windows Server 2012 Active Directory Read-Only Domain Controller (RODC) (Level 200)

Simmy’s blog – Adding a Server 2012 DC to an existing domain with Powershell

Запись опубликована в рубрике Domain Controller, Microsoft с метками . Добавьте в закладки постоянную ссылку.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *