Instalando o RODC no Windows Server 2008 R2: Server Core
Instalando o RODC no Windows Server 2008 R2: Server Core
Este artigo irá demonstrar como instalar o RODC (Read Only Domain Controller) em um servidor com o Windows Server 2008 R2: Server Core.
Acredito que nesta altura do campeonato a maioria dos leitores já saibam o que é o RODC, mas só para explicar em poucas palavras para os que ainda não conhecem essa feature do Windows Server 2008, o RODC é um Domain Controller, como os demais, que autentica os usuários e computadores na rede onde ele se encontra, e é ideal para se instalado em escritórios remotos, onde não há uma infraestrutura adequada de segurança para a guarda do servidor.
Antes de instalar o primeiro RODC, precisamos validar alguns pré-requisitos de infraestrutura.
- Nivel de funcionalidade do domínio deve ser Windows Server 2003 ou superior.
- O domínio e a floresta devem ser preparados para o Windows Server 2008, rodando os comandos:
adprep /foresprep
(http://technet.microsoft.com/en-us/library/cc753437(WS.10).aspx)
adprep /domainprep /gpprep
(http://technet.microsoft.com/en-us/library/cc754670(WS.10).aspx)- Adicionalmente deve-se rodar o comando adprep /rodcprep para preparar o domínio Windows Server 2003 para receber o RODC.
(http://technet.microsoft.com/en-us/library/cc771055(WS.10).aspx)- Deve haver pelo menos um Domain Controller normal (Não-RODC) rodando o Windows Server 2008 no domínio.
- Aplicar o hotfix (KB944043) nos clientes (Windows XP, Windows Vista RTM) e servidores Windows Server 2003 http://support.microsoft.com/kb/944043/en-us
Validados os pré-requisitos, mãos à obra:
Aqui vale uma observação, existem várias formas para implantar o RODC no domínio, aqui vamos apresentar a opção onde o próprio administrador instalará o RODC; .
Vamos para as atividades necessárias para subir o RODC, usando as credenciais de um administrador do domínio.
- Instalar o Windows Server 2008 R2, no modo Server Core:
- Configurar os opções básicas do servidor:
O Windows Server 2008 R2 conta agora com uma ferramenta de configuração chamada SCONFIG que ajuda bastante na hora de realizar as configurações básicas, como Nome da Máquina, IP, DNS, etc…
Em um outro post, dou várias dicas de configuração do Server Core, se precisar dá uma espiada lá (http://blogs.technet.com/brzad/archive/2009/07/15/instalando-o-hyper-v-no-windows-server-2008-server-core.aspx)- Promover o servidor a RODC/Instalar o DNS
Para promover o servidor a RODC deve-se primeiro preparar um arquivo de respostas para ser usado com o comando DCPromo, uma vez que o Server Core não tem interface gráfica, não há como usar o assistente de promoção do DCPromo.
Abaixo, segue um exemplo de um arquivo de respostas para promover um RODC e também instalar o DNS, copie e cole no notepad e lembre-se de substituir os valores destacados em vermelho:[DCInstall]
ReplicaOrNewDomain=ReadOnlyReplica
ReplicaDomainDNSName=<NOME.DO.DOMINIO>
SiteName=Default-First-Site-Name
InstallDNS=Yes
ConfirmGc=Yes
UserDomain=<NOME.DO.DOMINIO>
UserName=*
Password=*
DatabasePath="C:WindowsNTDS"
LogPath="C:WindowsNTDS"
SYSVOLPath="C:WindowsSYSVOL"
PasswordReplicationDenied="Domain Admins"
PasswordReplicationDenied="Enterprise Admins"
PasswordReplicationAllowed=None
DelegatedAdmin="Domain Admins"
CriticalReplicationOnly=Yes
SafeModeAdminPassword= <SENHA DO ADMIN LOCAL(MODO DSRM)> RebootOnCompletion=NoSalve o arquivo como RODCInstall.txt
Execute o comando: dcpromo /unattend:RODCInstall.txt
Será solicitado o Login e senha de um usuário com privilégios de administrador do domínio.
Após promovido o RODC, efetue um restart do servidor.
Isto conclui a instalação do RODC usando a conta do administrador.
Vejamos agora como instalar o RODC com a conta de um usuário comum
- Instalar o Windows Server 2008 R2, no modo Server Core
(Idem anterior)- Configurar as opções básicas do servidor
(Idem anterior)
Importante: Para este modo de instalação do RODC o servidor deve permanecer em Workgroup.
- Prepopular o RODC no Active Directory
3.1 Criar o Site da localidade no Active Directory Sites and Services
Abra o Active Directory Sites and Services, e crie um novo site
Defina o nome do site, e associe-o com um Site Link
Clique em Ok
Neste cenário recomenda-se criar um objeto de subnet e associá-lo ao Site recém criado.
3.2 Pre-popular o RODC no Active Directory Users and Computers
No Active Directory Users and computers, clique com o botão direito em “Domain Controllers” e depois clique em “Pre-create Read-only Domain Controller Account…”
Na tela “Welcome…” clique em Next.
Na tela “Operation System Compatibility” clique em Next.
Na tela “Network Credentials” clique em Next se você já estiver logado com uma conta que seja administrador do domínio, caso contrário selecione “Alternate credentials” e defina o usuário e senha para executar o wizard.
Na tela “Specify the Computer Name” defina o nome de computador que será usado no servidor RODC
Escolha o site que você criou no passo 3.1, e clique em Next
Selecione os itens opcionais que desejar (Recomenda-se deixar "Dns Server” e “Global Catalog” selecionado) e clique em Next
Na tela “Delegation of RODC Installation and Administration” defina o grupo de usuários que será usado para instalar e promover o servidor RODC e clique em Next.
Na tela “Summary” reveja as configurações e clique em Next.
Para concluir clique em Finish.
- Promover o servidor a RODC / Instalar o DNS
Para promover o servidor a RODC deve-se primeiro preparar um arquivo de respostas para ser usado com o comando DCPromo, uma vez que o Server Core não tem interface gráfica, não há como usar o assistente de promoção do DCPromo.
Abaixo, segue um exemplo de um arquivo de respostas para promover um RODC pré-criado no Active Directory e também instalar o DNS, copie e cole no notepad e lembre-se de substituir os valores destacados em vermelho:[DCInstall]
ReplicaOrNewDomain=ReadOnlyReplica
ReplicaDomainDNSName=<NOME.DO.DOMINIO>
SiteName=Default-First-Site-Name
InstallDNS=Yes
ConfirmGc=Yes
UserDomain=<NOME.DO.DOMINIO>
UserName=<NOMDE.DO.DOMINIO>USUARIO_DELEGADO
Password=*
DatabasePath="C:WindowsNTDS"
LogPath="C:WindowsNTDS"
SYSVOLPath="C:WindowsSYSVOL"
CriticalReplicationOnly=Yes
SafeModeAdminPassword= <SENHA DO ADMIN LOCAL(MODO DSRM)> RebootOnCompletion=NoSalve o arquivo como RODC_Install.txt
Execute o comando: dcpromo /UseExistingAccount:Attach /unattend:RODC_Install.txt
Na tela “Windows Security” preencha a senha do usuário que foi delegado para a instalação do RODC e que faça parte do grupo definido na hora de pré-popular o RODC no Active Directory.
Se tudo estiver certo a promoção do RODC deve começar conforme tela abaixo:
Após promovido o RODC, efetue um restart do servidor.
Isto conclui a instalação do RODC usando a conta de um usuário normal, que foi delegado para instalar e promover o RODC.
Pós Instalação (Opcional)
Configuração do PRP(Password Replication Policy)
Conforme dito no início deste artigo, por padrão o RODC não armazena em cache as senhas dos usuários, com isto, na eventual falha de comunicação entre o RODC e o DC “full” os usuários das localidades onde um RODC for instalado poderão ter problema para efetuar logon.
Para que este comportamento não ocorra, deve-se habilitar o cache das senhas dos usuários da localidade para o respectivo servidor RODC.
A maneira mais segura de fazer isto é criar um grupo de segurança para cada localidade, e habilitar o armazenamento de senha no respectivo servidor RODC apontando este grupo.
Para fazer isto siga os seguintes passos:
A) Crie um grupo de segurança no domínio que identifique bem a localidade, e a finalidade do grupo. (Ex: G_Pwdcache_Remoto poderia ser usado para indicar um grupo global (G), para fazer o cache da senha(Pwdcache) de usuários Remotos, que poderia ser substituido pelo nome da localidade.
B) Abra o Active Directory Users and Computers, expanda a OU Domain Controllers, clique com o botão direito do mouse em cima do servidor RODC e selecione a opção Properties.
C) Vá até a guia “Password Replication Policy”clique no botão “Add”
Selecione a opção “Allow…”, e clique em OK
adicione o grupo “G_Pwdcache_Remoto” e clique em OK
Atividade opcional:
De volta à guia “Password Replication Policy” é possível pre-popular as senhas dos usuários e computadores da localidade na base do RODC, para isso, clique em “Advanced”
Na janela que se abre clique no botão “Prepopulate Passwords”
Selecione os usuários/computadores que deseja pre-popular e clique em OK
Na tela de confirmação, clique em “Yes”
Para validar quais são os usuários/grupos que estão configurados no PRP, abra o prompt de comando e digite o seguinte comando:
repadmin /prp view <hostname> allow
substituindo o <hosntame> pelo FQDN do servidor RODC.Isto conclui a instalação e configuração inicial de um RODC.
Um abraço e até a próxima!
Como alterar data e hora, e configurações regionais no Windows Server Core 2008
Este tutorial tem como objetivo descrever os passos necessários para alterar data, hora e configurações regionais no Windows Server Core 2008
Para configurar data e tempo do servidor.
- No Shell do Windows , digite timedate.cpl e pressione Enter.
-
Será aberto a interface de configuração de data e tempo.
-
Nesta interface é possível configurar os formatos de data , hora , relógios adicionais e provedor de tempo.
Para configurar as opções de regiões e de linguagens do servidor.
- No Shell do Windows , digite intl.cpl e pressione Enter.
-
Será aberto a interface de configuração de região e linguagem.
-
Nesta interface é possível configurar os formatos de região, Localização, Teclado e Linguagens.
Videos sobre Windows Server 2008 R2
A Microsoft disponibilizou no site 10 vídeos para deseja aprender mais sobre os novos recursos da versão R2, eles são apresentados pelo Gilson Banin, segue o link para quem desejar saber mais
Microsoft disponibiliza E-book do Windows Server 2008
A Microsoft disponibilizou para download um e-book gratuito de Windows Server 2008.
Segue link para quem tiver interesse:
Até a próxima
Tutorial de instalação do Active Directory no Windows Server 2008
Este tutorial tem como objetivo descrever os passos necessários para a instalação do primeiro domain controller da rede baseada no Windows Server 2008.
Este tutorial aplica-se ao ADDS (Active Directory Domain Services) do Windows Server 2008 o modo mais conhecido do AD e a base do nosso tutorial.
Pré-requistos
É importante que o servidor tenha um IP fixo configurado e que o DNS já esteja funcionando perfeitamente.
OBS: Não executar este tutorial caso você já tenha um controlador de domínio para o domínio desejado.
Clique start ,digite DCPROMO e pressione enter para iniciar o assistente de instalação do Active Directory.
Na tela inicial clicar em Next conforme abaixo
Na tela abaixo clique em Next novamente.
Em "Choose a Deployment Configuration" escolha a opção Create a new Domain in a new forest.
Agora iremos definir o nome do domínio raiz da floresta.
Em FQDN digite o nome do domínio de acordo com o configuração do seu DNS, ex: empresa.local.
Em Domain NetBios Name aceite o padrão e clique em Next.
Na janela Additional Domain Controller Options, clique em Next.
Na tela Location Database, Log Files, and Sysvol, aceite o padrão e clique Next.
Use esta tela para definir a senha de Restore Mode do AD
Abaixo cheque se todas as informações estão corretas e clique em NEXT
Aguarde o processo de instalação que demora alguns minutos
Clique em finish para reiniciar o servidor
Você já estará pronto para começar a usar dos recursos do Active directory do Windows Server 2008.