読み取り専用のDC。
以下のような状況をゴソッと解決する仕組みなのかな。。
(1)管理者が不在もしくは正規の管理者が置けない
(2)専用部屋に保管できず、盗難等のセキュリティ
リスクがある
(3)DCをローカルに置かないと認証トラフィックで困る
導入条件として-レプリカ元の書き込み可能DCとして
-Windows Server 2008が一台存在
-フォレスト・ドメインの機能レベルが2003以上
構築のざっくりとした流れとしては
(1) ドメイン内に2008のDCがいるか確認。
いなければ作成。
(2) フォレスト・ドメインの機能レベルを2003以上で
あることを確認。でなければ機能レベルをあげる。
(3) ADPREP /RODCprepをインフラストラクチャマスタ
と通信できるDCで実行
※Enterprise Adminsのユーザで
(4) RODC用のコンピュータにWindows Server 2008を
インストール
(5) サーバマネージャもしくはdcpromoからRODCとして
(4)のサーバを追加。
試験問題集の設問として以下のようなものがある。
(1)ブランチオフィスなどのリモートサイトのサーバを、
管理者ユーザ以外のユーザに代行してもらう場合。
→ RODC のインストールを委任する方法がある。
・書き込み可能DCの管理者側にて、
- 「ユーザとコンピュータ」の「Domain Controllers」
コンテナを右クリックし、
[読み取り専用ドメイン コントローラ アカウントの事前作成]
にて実行。
- [代替の資格情報] の項目にてインストールを
現地で行うユーザを設定。
- [コンピュータ名の指定] で追加するコンピュータ名
- [サイトの選択] で設置するサイト名
- [パスワード レプリケーション ポリシーの指定] を行う
・RODCを追加するユーザは
- RODCとなるサーバにローカル管理者権限でログイン
- dcpromo /UseExistingAccount:Attach を実行
- [詳細モード インストール]にて、[代替の資格情報]
に指定のユーザ資格情報を入れる。
(2)以下、作成中。
0 件のコメント:
コメントを投稿