Per l’installazione del ruolo RODC è necessario modificare i permessi dns all’application directory in tutti i dns server presenti nella nostra foresta. La modifica dei permessi dns è necessaria per avviare il processo di replica i ntutti i dns della foresta.

Eseguire dal command prompt con un utente appartenente al gruppo Enterprise Admins il seguente comando: adprep /rodcprep

Per eseguire adprep /rodcprep dal command prompt:

  • Collegarsi sul domain controller con un utente appartenente al gruppo Enterprise Admins group
  • Copiare il contenuto dalla cartella \sources\adprep presente sul DVD d’installazione di Windows Server 2008 sul domain controller che ha il ruolo di schema master
  • Eseguire adprep /rodcprep e premere Invio

Per l’installazione di un domain controller di sola lettura (RODC) in un Server Core basato sul sistema operativo Windows Server 2008 R2, è necessario essere un membro del gruppo Domain Admins oppure disporre della delega amministrativa per eseguire l'installazione.

La procedura che segue contiene i parametri che possono essere specificati nel file di risposta durante un'installazione automatica. È inoltre possibile specificare questi parametri a riga di comando se si utilizza il comando dcpromo /unattend

  • Installare un secondo computer server che esegue un'installazione Server Core di Windows Server 2008 R2
  • Copiare i seguenti settaggi in un file di testo

Salvare il file di testo con il nome che verrà utilizzato per il file di risposte durante l'installazione:

[DCInstall]
InstallDNS=Yes
ConfirmGc=No
CriticalReplicationOnly=No
DisableCancelForDnsInstall=No
PasswordReplicationAllowed=The name(s) of groups whose members' passwords will be allowed to be cached on the RODC
PasswordReplicationDenied=The name(s) of groups whose members' passwords will NOT be allowed to be cached on the RODC
Password=Domain Admin password
RebootOnCompletion=No
ReplicaDomainDNSName=Full DNS name of the domain
ReplicaOrNewDomain=ReadOnlyReplica
ReplicationSourceDC=Name of a Windows Server 2008 domain controller in the same domain
SafeModeAdminPassword=Choose an appropriate password to use for Directory Services Restore Mode
SiteName=RODC Site Name
UserDomain=DomainName
UserName=Domain Admin account name
PasswordReplicationAllowed=CN=AllowedGroup,OU=Users,DC=spruce,DC=example,DC=contoso,DC=com
PasswordReplicationAllowed=CN=AllowedGroup2,OU=Users,DC=spruce,DC=example,DC=contoso,DC=com

Dal prompt dei comandi  eseguire il seguente comando:  dcpromo /unattend: PathToAnswerFile

Opzionale delegare l’installazione del RODC

È possibile eseguire un'installazione delegata di un dominio di sola lettura (RODC) in cui l'installazione è gestita in due fasi da parte di individui diversi.

La prima fase dell'installazione, che richiede le credenziali di dominio amministrativo, crea un account per il dominio di sola lettura nel dominio Active Directory.

La seconda fase dell'installazione collega il server effettivo che sarà il dominio di sola lettura in una postazione remota, come ad esempio una filiale attraverso l'account creato in precedenza nella prima fase dell’installazione.

Durante la prima fase dell'installazione, la procedura guidata registra tutti i dati relativi al dominio di sola lettura che saranno memorizzati nel database di Active Directory distribuito. Questa fase deve essere eseguita da un membro del gruppo Domain Admins.

L'amministratore che crea l'account di sola lettura può anche specificare l'ora in cui gli utenti o gruppi possono completare la fase successiva dell'installazione. La fase successiva di installazione può essere eseguita nella filiale da qualsiasi utente o gruppo che è stato delegato il diritto di completare l'installazione quando l'account è stato creato. Questa fase non richiede alcuna appartenenza a gruppi predefiniti, come ad esempio il gruppo Domain Admins. Se l'utente che crea l'account di sola lettura non specifica alcuna delega per completare l'installazione, solo un membro del gruppo Domain Admins o Enterprise Admins può completare l'installazione.

Durante la seconda fase, la procedura guidata installa il dominio Active Directory sul server che diventerà il dominio di sola lettura (RODC) e collega il server all’account di dominio che è stato creato in precedenza. Questa fase si verifica in genere nelle filiali o altri postazioni remote in cui viene distribuito il dominio di sola lettura. Durante questa fase, tutti i dati di dominio Active Directory che risiedono a livello locale, come il database, file di log, e così via, sono creati sullo stesso dominio di sola lettura. È possibile replicare i file di origine dell'installazione al dominio di sola lettura da un altro controller di dominio in rete, oppure è possibile utilizzare l'installazione da supporto (IFM). Per utilizzare IFM, utilizzare Ntdsutil.exe per creare il supporto di installazione

Il server che diventerà il dominio di sola lettura non deve essere unito al dominio prima di provare a collegarlo all’account di sola lettura. Come parte dell'installazione, la procedura guidata rileva automaticamente se il nome del server corrisponde ai nomi di tutti gli account di sola lettura che sono stati creati precedentemente nel dominio. Se viene individuato un nome di account corrispondente, viene richiesto all'utente di utilizzare tale account per completare l'installazione di sola lettura

Creazione di un account RODC tramite interfaccia grafica

  1. Seleziona Start, Administrative Tools e clicca Active Directory Users and Computers
  2. Doppio click sul container domain, seleziona il container Domain Controllers
  3. Clicca nell’action pane All Tasks
  4. Seleziona Pre-create Read-only Domain Controller account, come mostrato nella seguente figura:

    image
  5. Nella pagina Welcome to the Active Directory Domain Services Installation Wizard , se vuoi modificare la default Password Replication Policy, seleziona Use advanced mode installation, e poi seleziona Next
  6. Nella pagina Network Credentials, nella sezione Specify the account credentials to use to perform the installation, clicca My current logged on credentials, come mostrato in figura, o seleziona Alternate credentials, seleziona Set. Nella finestra Windows Security dialog box, inserisci lo user name e password di un account che ha i privilegi per l’installazione di domain controller aggiuntivi. Per installare un additional domain controller, devi essere membro del gruppo Enterprise Admins o Domain Admins.

    image
  7. Nella pagina Specify the Computer Name , inserisci il computer name del server che sarà il RODC
  8. Nella finestra Select a Site, seleziona un sito dal menu a tendina o seleziona l’opzione per l’installazione del domain controller nel sito che corrisponde all’ip address del computer sul quale stai eseguendo il wizard, seleziona Next
  9. Nella finestra Additional Domain Controller Options, seleziona l’opzione appropriata come mostrato in figura e seleziona Next:

    image
  • DNS server: Questa opzione è selezionata per impostazione predefinita in modo che il controller di dominio può funzionare come un server DNS. Se non si desidera che il controller di dominio sia un server DNS, deselezionare la casella di controllo. 
  • Global catalog: Questa opzione è selezionata per impostazione predefinita. Se non si desidera che il controller di dominio sia un server di catalogo globale, deselezionare questa opzione.
  • Read-only domain controller: Quando si crea un account di dominio di sola lettura, questa opzione è selezionata di default e non è possibile modificarla.

Selezionare Next per accettare le impostazioni di default

  1. In Select Users, Computers, and Groups, inserisci il nome dell’account che vuoi aggiungere alla policy e seleziona OK
  2. Nella pagina Delegation of RODC Installation and Administration, inserisci il nome dell’account o del gruppo che collegherà il server al RODC account come indicato da figura:
    image
  3. Per ricercare uno specifico account o gruppo premere il pulsante Set...
  4. In Select Users, Computers, or Groups, inserisci il nome di un utente o di un gruppo.
  5. Si consiglia di delegare l'installazione di sola lettura e l'amministrazione ad un gruppo specifico.
  6. L’utente o il gruppo delegato avrà anche i diritti amministrativi locali sul dominio di sola lettura dopo l'installazione. Se non si specifica un utente o gruppo, solo i membri del gruppo Domain Admins o Enterprise Admins saranno in grado di collegare il server al RODC account.
  7. Premere Next per continuare
  8. Nella Summary page, verifica le impostazioni.
  9. Seleziona Back per modificare le impostazioni se necessario.
  10. Per salvare le impostazioni selezionate in un file di risposte che è possibile utilizzare per le installazioni successive, fare clic su Esporta impostazioni. Digitare un nome per il file di risposte, e quindi fare clic su Salva.
  11. Selezionare Avanti per creare l'account di dominio di sola lettura
  12. Nella pagina Completing the Active Directory Domain Services Installation Wizard selezionare Finish.

In questo post abbiamo installato il Read Only Domain Controller nella Core Edition, nel post successivo vedremo come procedere alla configurazione completa.

Gianluca Maestri
Sr Support Engineer
Microsoft Enterprise Platform Support