Hai semua, kita akan melihat langkah demi langkah bagaimana anda sebagai Server Admin dapat install & configure RODC menggunakan Windows Server 2012 R2 di persekitaran anda. Tetapi yang pertama, mari kita lihat apa itu RODC, sedikit penjelasan.
RODC @ Read-Only Domain Controller - memberikan alternatif kepada fully writable domain controller. Dalam banyak senario, seperti remote branch office atau lokasi di mana server tidak dapat ditempatkan di persekitaran fizikal yang selamat, RODC dapat menyediakan fungsi domain controller tanpa berpotensi mendedahkan persekitaran AD DS anda kepada sebarang risiko.
Anda tidak dapat membuat perubahan pada database domain di RODC, kerana database AD DS di RODC tidak menerima permintaan pengubahsuaian dari klien dan aplikasi. Semua permintaan perubahan diteruskan ke writable domain controller. Kerana tidak ada perubahan yang terjadi pada RODC, replikasi perubahan Active Directory adalah satu cara hanya dari writable domain controller ke RODC.
User dan computer credentials tidak akan ditiru ke RODC secara default. Untuk menggunakan RODC meningkatkan log masuk pengguna, anda perlu mengkonfigurasi Password Replication Policy (PRP) yang menentukan kelayakan pengguna yang dapat disimpan dalam cache. Mengehadkan crenditials di RODC mengurangkan risiko keselamatan. Sekiranya RODC dicuri, hanya kata laluan untuk akaun pengguna dan komputer yang di-cache perlu diset semula.
Selesai sedikit penjelasan, sekiranya anda ingin mengetahui lebih banyak maklumat mengenai RODC sila log masuk ke http://technet.microsoft.com/en-us/library/dd734758(v=ws.10).aspx @ anda semua sangat dialu-alukan datang ke latihan Windows Server 2012 R2 saya yang tersedia setiap bulan di seluruh Malaysia.
Jadi, untuk demo RODC, seperti biasa bagi mereka yang mengikuti blog saya, anda harus tahu bahawa saya selalu menggunakan Hyper-V Infrastructure yang terdiri daripada beberapa server seperti ComSys Backup, ComSys DC01, ComSys Svr01, ComSys SVR-Core, ComSys-Svr2012R2-Core & PC Klien saya Surface01 yang runs Windows 8 Enterprise.
Tetapi untuk demo RODC ini, saya mempunyai Server baru yang beroperasi & ComSys RODC (Comsys-RODC01.comsys.local). Saya akan menggunakan Comsys-RODC01.comsys.local ini kerana RODC Server saya dan RODC akan direplikasi dari DC01 saya.
Sekarang mari kita mulakan.
1. Anda perlu mengesahkan requirement untuk install RODC di persekitaran anda. Salah satu syarat penting adalah tahap fungsi forest, pastikan tahap fungsi forest anda ditetapkan ke Windows Server 2003 atau yang lebih baru. Dalam kes saya, tahap fungsi forest saya sudah ditetapkan ke Windows Server 2012 R2. Untuk mengesahkan tahap fungsi forest, log masuk ke AD Server anda, buka Active Directory User and Computers, klik Comsys.local domain, dan kemudian klik Raise domain functional level dan sahkan bahawa tahap fungsi Domain semasa ditetapkan ke Windows Server 2012 R2.
2. Seterusnya, di Active Directory User and Computers, klik Domain Controller, dan kemudian klik Pre-create Read-only Domain Controller account.
3. Di dalam Active Directory Domain Service Installation Wizard box, klik Next.
4. Klik Next untuk accept current credentials iaitu Comsys\Administrator.
5. Di dalam Computer Name box , tulis Comsys-RODC01, dan kemudian klik Next.
6. Pada Select a site box, klik Next.
7. Pada Additional Domain Controller Options box, sahkan bahawa DNS Server and Global catalog dipilih dan klik Next.
8. Pada Delegation of RODC Installation and Administration box , tulis COMSYS\IT Dept (kumpulan IT Dept saya akan dapat melampirkan server ke akaun RODC yang saya buat sekarang) di Group atau user field, dan kemudian klik Next.
9. Pada halaman Summary, klik Next.
10. Klik Finish untuk menyelesaikan proses dan di Active Directory Users and Computers, klik Domain Controller OU dan anda akan melihat Comsys-RODC01 disenaraikan.
Sekarang, kita telah mengesahkan requirement RODC dan delegate RODC Installation and Administration ke kumpulan IT Dept. Seterusnya, mari install RODC pada server ComSys RODC.
11. Log masuk ke server Comsys-RODC01.
12. Buka Server Manager, klik Manage, dan kemudian klik Add Roles and Features.
13. Di dalam Add Roles and Features box, klik Next.
14. Pastikan Role-based or featured-based installation dipilih, dan kemudian klik Next.
15. Pilih Comsys-RODC01, dan kemudian klik Next.
16. Pada Select server roles box, pilih check box untuk Active Directory Domain Services, klik Add Features, dan kemudian klik Next.
17. Pada Select Features box, klik Next.
18. Klik Next, dan kemudian klik Install untuk meneruskan installation.
19. Tunggu beberapa minit sehingga installation selesai.
20. Setelah installation selesai, pada Installation progress box, klik Promote this Server to a domain controller.
21. Di dalam Deployment Configuration box, sahkan bahawa anda memilih Add a domain controller to an existing domain, kemudian klik Select.
22. Di dalam Windows Security box, type comsys\morgan (Morgan adalah pengguna saya di IT dept) untuk Username dan masukkan password untuk Morgan, dan kemudian klik OK.
23. Sahkan juga di bawah Specify the domain information untuk operasi ini, Comsys.local domain dipilih dan kemudian klik Next.
24. Seterusnya, dalam Domain Controller Options box, di bawah Type the Directory Service Restore Mode (DSRM) password, type password anda di Password dan Confirm Password fields, dan kemudian klik Next.
25. Pada Additional Options box, di sebelah Replicate from, klik drop-down box, klik DC01.Comsys.local, dan kemudian klik Next.
26. Pada Paths box, klik Next untuk teruskan.
27. Pada Review Options box, klik Next.
28. Pada Prerequistes Check box, sahkan bahawa semua pemeriksaan prasyarat berjaya dilalui dan kemudian klik Install dan setelah proses ADDS selesai, server Comsys-RODC01 akan restart.
Setelah server Comsys-RODC01 selesai restart, kita perlu configure password-replication groups.
** Password replication policy (PRP) menentukan kelayakan pengguna dan komputer mana yang dapat dicache pada RODC tertentu.
29. Log masuk ke server DC01, buka Active Directory Users and Computers, klik User Containers, double-click Allowed RODC Password Replication Group.
30. Kemudian klik tab Members, dan kemudian sahkan bahawa tidak ada yang disenaraikan.
31. Seterusnya, klik Domain Controller OU, klik COMSYS-RODC01, dan kemudian klik Properties.
32. Klik tab Password Replication Policy tab, dan sahkan bahawa Allowed RODC Password Replication Group and Denied RODC Password Replication Policy Group kedua-duanya disenaraikan.
Seterusnya, mari buat kumpulan untuk menguruskan replikasi kata laluan ke server RODC pejabat cawangan kita (COMSYS-RODC01).
33. Di dalam Active Directory Users and Computers, klik Production OU, klik New, dan kemudian klik Group.
34. Di New Object – Group Window, type Comsys Branch Office Users di Group Name field, sahkan bahawa Global and Security dipilih, dan kemudian klik OK.
35. Dalam Active Directory Users and Computers, klik Production OU, dan kemudian double-click Comsys Branch Office Users group, kemudian di Comsys Branch Office Users Properties box, klik tab Members dan tambahkan beberapa ahli seperti Bart, Booby, Marko Laptop dan Surface01.
Seterusnya, kita juga perlu mengkonfigurasi password-replication policy untuk server RODC pejabat cawangan (COMSYS-RODC01).
36. Di Active Directory Users and Computers, klik Domain Controllers OU, klik COMSYS-RODC01, dan kemudian klik Properties, klik tab Password Replication Policy, dan kemudian klik Add kemudian di Add Groups, Users, and Computer windows, klik radio button untuk memilih Allow Passwords for the account to replicate to this RODC, dan kemudian klik OK.
37. Di search window, di dalam Enter the object names untuk memilih fields, type Comsys Branch Office Users dan kemudian klik OK.
38. Dalam Properties COMSYS-RODC01 box, klik OK.
Seterusnya, mari kita menilai password-replication policy yang dihasilkan untuk RODC kita.
39. Di dalam Properties COMSYS-RODC01 box, pada tab Password Replication Policy, klik Advanced.
40. Klik tab Resultant Policy, kemudian tambahkan nama pengguna Bart (Bart adalah pengguna Pengeluaran saya), sahkan bahawa Resultant Setting untuk Bart ialah Allow.
41. Seterusnya di Server RODC (COMSYS-RODC01), log masuk sebagai comsys\bart. Log masuk akan gagal, kerana Bart tidak mempunyai kebenaran untuk log masuk ke COMSYS-RODC01. Walau bagaimanapun, kelayakan untuk akaun Bart diproses dan disimpan dalam cache di COMSYS-RODC01.
42. Log masuk kembali ke Server Domain, dalam Active Directory Users and Computers, klik Domain Controllers OU, double-click COMSYS-RODC01, dan kemudian klik tab Password Replication Policy, klik Advanced dan Perhatikan bahawa Kata laluan akaun Bart telah disimpan di RODC.
Terakhir sekali, mari kita prepopulate crendentials caching (selalu ingat, do not cache password untuk domain-wide administritive accounts)
43. Pada tab Password Replication Policy, klik Advanced, dan kemudian klik Prepopulate Passwords.
44. Dalam Select Users and Computers box, saya menambah Bobby dan Surface01 saya, kemudian klik OK.
45. Sahkan bahawa kedua-dua komputer riba Bobby dan Surface01 pengguna saya telah ditambahkan ke senarai akaun dengan kelayakan cache dan kemudian klik Yes.
Comments