Windows Server 2012 – Поднимаем RODC через PowerShell

Продолжаем перепечатку статей Алексея Максимова.

В одной из прошлых заметок я уже писал о проблеме выбора ближайшего RWDC при вводе в домен компьютера попадающего в сайт с RODC. В процессе перевода RODC на Windows Server 2012 на одной из удалённых площадок столкнулся с ситуацией, до боли напоминающей старую проблему… В процессе работы мастера повышения сервера до RODC при попытке выбрать в домене группу для Администраторов RODC или же группы для репликации паролей, диалоговое окно выбора доменных объектов не открывалось и возникала странная ошибка, говорящая о невозможности определения состояния RWDC находящегося совершенно “в другой степи” и не имеющего отношения ни к местному сайту ни к ближайшему RWDC.

image

Конечно можно было бы не менять настройки на этом шаге мастера и выполнить установку с настройками по умолчанию, а уже после окончания установки назначить группу Администраторов RODC и задать группы репликации паролей, но в голову пришла мысль о том, что выполнить повышение до RODC можно и с помощью PowerShell сразу указав при этом в явном виде все необходимые группы доступа. Собственно далее – небольшая шпаргалка как это сделать.

***

Если это ещё не сделано ранее, вводим компьютер в домен с привязкой процедуры джойна к конкретному ближайшему контроллеру домена RWDC с помощью командлета Add-Computer. Как видно из прошлой заметки, в Win7/2008R2 параметр -Server не работал как мы от него этого ожидали и приходилось указывать контроллер домена после имени домена таким образом:

-DomainName:”holding.com\Best-DC”

а вот в W8/WS2012 по словам моих коллег (сам я это не успел проверить) ситуация изменилась к лучшему и теперь мы можем использовать команду вида:

Add-Computer -DomainName:”holding.com”`

-Server:”Best-DC” `

-Credential:”HOLDING\admin” `

-OUPath:”OU=Servers,OU=TCIN,DC=holding,DC=com” `

-Verbose -PathThru

***

Перед тем как выполнять процесс повышения в системе должны быть активированы соответствующие фичи. Проверяем статус установки нужных компонент:

Import-Module“ServerManager”

Get-WindowsFeature “Ad-Domain-Services”,”DNS”

И если нужные компоненты не были установлены ранее, выполняем их установку:

Import-Module“ServerManager”

Add-WindowsFeature “Ad-Domain-Services”,”DNS” -IncludeManagementTools

***

Перед тем как повысить сервер до роли контроллера домена выполняем тестирование на предмет соблюдения всех необходимых условий:

$ADDSRestoreModePWD = (ConvertTo-SecureString “Passw0rd” -AsPlainText -Force)

Import-Module“ADDSDeployment”

Test-ADDSDomainControllerInstallation `

-DomainName “holding.com” `

-SafeModeAdministratorPassword $ADDSRestoreModePWD

image

Если все тесты прошли успешно, можно выполнить повышение сервера до RODC, при этом явно указав группы безопасности которые мы не могли выбрать в случае повышения через графический интерфейс.

$ADDSRestoreModePWD = (ConvertTo-SecureString “P@ssw0rd” -AsPlainText -Force)

Import-Module“ADDSDeployment”

Install-ADDSDomainController `

-DomainName “holding.com” `

-SiteName “tcin” `

-ReplicationSourceDC “Best-DC.holding.com” `

-SafeModeAdministratorPassword $ADDSRestoreModePWD `

-AllowPasswordReplicationAccountName @(“HOLDING\TCIN-RO-Users”,”Domain Computers”) `

-DelegatedAdministratorAccountName “HOLDING\TCIN-RO-Admins” `

-InstallDns:$True `

-NoGlobalCatalog:$False `

-ReadOnlyReplica:$True `

-DatabasePath “C:\Windows\NTDS” `

-LogPath “C:\Windows\NTDS” `

-SysvolPath “C:\Windows\SYSVOL” `

-NoRebootOnCompletion:$False `

-Force:$True `

-Verbose

При выполнении в оболочке PowerShell ISE процесс будет выглядеть не менее информативно чем в случае использования GUI-мастера…

image

После окончания процесса наш сервер будет перезагружен и мы получим желаемый результат без последующих “допиливаний”

Дополнительные источники информации:

TechNet Library – Install a Windows Server 2012 Active Directory Read-Only Domain Controller (RODC) (Level 200)

Simmy’s blog – Adding a Server 2012 DC to an existing domain with Powershell

Запись опубликована в рубрике Domain Controller, Microsoft с метками . Добавьте в закладки постоянную ссылку.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *