Déploiement pas à pas d'un contrôleur de domaine en lecture seule Windows Server 2012 R2 – Bien choisir son serveur d impression
Sommaire
Aperçu
Les contrôleurs de domaine en lecture seule sont idéaux dans un emplacement distant où la sécurité du système ne peut pas être garantie. Ils permettent au site distant d'avoir un point d'authentification local, sans stocker de données vulnérables sur chaque objet du domaine. Les seules informations stockées sur un contrôleur de domaine en lecture seule sont celles des utilisateurs et des ordinateurs qu'il a été autorisé à authentifier. Tout autre objet interrogé ou autorisé est transmis par le contrôleur de domaine en lecture seule au contrôleur de domaine wrtiable.
Authentification
Un RODC récemment déployé n'authentifiera pas les utilisateurs ou les ordinateurs. Il transmettra toutes les demandes d'authentification et d'accès au contrôleur de domaine accessible en écriture. Nous devons spécifier pour quels utilisateurs, groupes ou ordinateurs le RODC mettra en cache les informations d'identification pour que l'authentification et les droits d'accès soient effectués par lui.
Cette étape par étape vous guidera dans le déploiement d'un contrôleur de domaine en lecture seule dans votre environnement.
Buts
- Déployez un contrôleur de domaine en lecture seule dans un domaine existant.
- Configurez la mise en cache des comptes d'utilisateurs et d'ordinateurs.
Conditions préalables
Avant qu'un contrôleur de domaine en lecture seule puisse être déployé dans votre environnement, les critères suivants doivent être remplis. Assurez-vous que votre environnement satisfait ou dépasse les exigences suivantes.
- Un domaine Active Directory existant.
- 2003 domaine et niveau de la fonction forestière, ou plus.
- Au moins un contrôleur de domaine accessible en écriture qui exécute Windows Server 2008 ou supérieur.
- Un serveur Windows Server 2012 R2 pour le rôle RODC.
Configuration du serveur
Le domaine Active Directory utilisé dans les travaux pratiques de ce didacticiel comprend les serveurs suivants. Le dernier, CALDC01, est ce qui sera configuré en tant que contrôleur de domaine en lecture seule.
Nom d'hôte | Site | Rôle |
---|---|---|
TORDC01 | Toronto, Ontario | Contrôleur de domaine |
TORDC02 | Toronto, Ontario | Contrôleur de domaine |
CALDC01 | Calgary, Alberta | Contrôleur de domaine en lecture seule (RODC) |
Configuration du site
Le laboratoire utilisé pour ce didacticiel avait la configuration de site suivante dans Active Directory.
Nom du site | Sous-réseaux |
---|---|
Toronto | 172.30.0.0/24 |
Calgary | 172.30.1.0/24 |
Préparation d'une forêt domaine mise à niveau pour RODC
Si votre forêt ou votre domaine avait ses contrôleurs de domaine mis à niveau à partir de Windows Server 2003, vous devrez peut-être étendre votre schéma pour autoriser les contrôleurs de domaine en lecture seule. La raison en est que Windows Server 2003 et Server 2003 R2 ne prenaient pas en charge les contrôleurs de domaine en lecture seule. Le rôle est redevenu disponible dans Windows Server 2008. Vous pouvez ignorer cette section si votre forêt a été créée sur Server 2008 ou Server 2012.
Vous saurez peut-être que votre domaine n'était pas préparé pour le contrôleur de domaine en lecture seule lorsque vous essayez de promouvoir un contrôleur de domaine comme activé. Un message sera affiché, vu dans la fig1, indiquant que les comptes par défaut utilisés par RODC ne peuvent pas être trouvés.
- Montez un ISO ou un disque Windows Server 2012 R2 dans le contrôleur de domaine exécutant une version 64 bits de Windows Server. Le serveur devrait idéalement héberger le rôle FSMO du schéma.
- Exécutez la commande suivante, en remplaçant D: par la lettre de lecteur de l'image montée.
D: support adprep adprep / rodcprep
- Suivez les instructions à l'écran, puis attendez que les modifications de schéma soient répliquées sur tous les contrôleurs de domaine du domaine. Selon le nombre de sites et la taille de votre domaine, cela peut prendre un certain temps.
Préparation du RODC
Les étapes suivantes installeront le rôle Active Directory et feront du serveur un contrôleur de domaine. Les étapes sont très similaires à la promotion d'un contrôleur de domaine complet et accessible en écriture.
- lancement Gestionnaire de serveur.
- Clique le Gérer lien en haut à droite de la Gestionnaire de serveur console.
- Sur le Avant que tu commences écran, cliquez sur Prochain.
- Sur le Sélectionnez le type d'installation écran, assurez-vous Installation basée sur les rôles ou les fonctionnalités est sélectionné, puis cliquez sur Prochain.
- Sur le Sélectionnez le serveur de destination écran, cliquez sur Prochain.
- Sur le Sélectionnez les rôles de serveur écran, sélectionnez Services de domaine Active Directory, puis cliquez sur Prochain.
- Si Assistant Ajouter des rôles et des fonctionnalités boîte de dialogue apparaît, cliquez sur Ajouter des fonctionnalités.
- Sur le Sélectionnez les fonctionnalités écran, cliquez sur Prochain.
- Sur le Services de domaine Active Directory écran, cliquez sur Prochain.
- Sur le Confirmation écran, assurez-vous Redémarrez le serveur de destination automatiquement si nécessaire est cochée, puis cliquez sur Installer.
- Une fois l'installation terminée, cliquez sur Promouvoir ce serveur en contrôleur de domaine.
Promouvoir le serveur en contrôleur de domaine
- Sur le Configuration de déploiement écran, assurez-vous Ajouter un contrôleur de domaine à un domaine existant est sélectionné, entrez le nom de domaine complet dans le champ de texte Domaine et ajoutez les informations d'identification pour un administrateur du domaine.
- Sur le Options du contrôleur de domaine écran, assurez-vous Contrôleur de domaine en lecture seule (RODC) est cochée, sélectionnez le site du serveur à l'aide du Nom du site déroulant et définissez le mot de passe DSRM. Une fois terminé, cliquez sur Suivant.
Comme on peut le voir sur la FIG4, nous installons également le rôle DNS sur notre RODC. Lorsqu'un rôle DNS est installé sur un contrôleur de domaine en lecture seule, le rôle DNS devient également en lecture seule. Toutes les demandes d'enregistrement d'enregistrement DNS soumises à ce serveur seront transmises à un contrôleur de domaine complet.
- Sur le Options RODC écran, nous pouvons configurer quels comptes ou groupes sont autorisés à voir leurs mots de passe répliqués sur le contrôleur de domaine en lecture seule. Par défaut, un RODC réplique les mots de passe de n'importe quel compte dans le groupe de réplication de mot de passe RODC autorisé. Cela peut être trop global à notre goût, j'ai donc créé un groupe de sécurité uniquement pour les utilisateurs de Calgary. L'étape suivante consisterait à supprimer le groupe de réplication de mot de passe RODC autorisé par défaut. Cliquez sur Suivant lorsque vous avez terminé.
Il est important de se rappeler qu'un contrôleur de domaine en lecture seule ne mettra en cache que les informations d'identification des comptes ajoutés aux groupes de sécurité répertoriés sous Comptes autorisés à répliquer les mots de passe sur le contrôleur de domaine en lecture seule. SI vous n'ajoutez pas de comptes des ordinateurs et des utilisateurs de ce site, leurs mots de passe ne seront pas stockés sur le contrôleur de domaine en lecture seule et ils ne pourront pas se connecter à un ordinateur ou à des ressources si le lien entre ce site et un site avec un domaine accessible en écriture le contrôleur descend.
- Sur le Options additionelles écran, vous pouvez sélectionner le contrôleur de domaine à répliquer ou laisser décider automatiquement. Cliquez sur Prochain lorsque vous avez terminé.
- Sur le Chemins , vous pouvez sélectionner des emplacements pour la base de données Active Directory, les fichiers journaux et les fichiers SYSLOG. Une meilleure pratique consiste à les déplacer sur un volume séparé. Une fois terminé, cliquez sur Prochain.
- Sur le Options de révision l'écran, vérifiez vos paramètres, puis cliquez sur Prochain.
- Sur le Vérification des prérequis l'écran, examinez les résultats, puis cliquez sur Installer.
- Une fois l'installation et la réplication des objets Active Directory terminées, le serveur redémarre.
Commentaires
Laisser un commentaire