Установка RODC контроллера домена на Windows Server 2016

Впервые функционал контроллера домена, доступного только на чтение (RODC — read-only domain controller), был представлен в Windows Server 2008. Основная задача, которую преследует технологией RODC, возможность безопасной установки собственного контролера домена в удаленных филиалах и офисах, в которых сложно обеспечить физическую защиту сервера с ролью DC. Контроллер домена RODC содержит копию базы Active Directory, доступную только на чтение. Это означает, что никто, даже при получении физического доступа к такому контроллеру домена, не сможет изменить данные в AD (в том числе сбросить пароль администратора домена).

В это статье мы рассмотрим основные особенности использования и процедуру установки нового контроллера домена RODC на базе Windows Server 2016.

Особенности контроллера домена RODC

Основные отличия RODC от обычных контроллером домена, доступных для записи (RWDC)

1. Контроллер домена RODC хранит копию базы AD, доступную только для чтения. Соответственно, клиенты такого контролера домена не могут вносить в нее изменения.
2. RODC не реплицирцирует данные AD и папку SYSVOL на другие контроллеры домена (RWDC).
3. Контроллер RODC хранит полную копию базы AD, за исключением хэшей паролей объектов AD и других атрибутов, содержащих чувствительную информацию. Этот набор атрибутов называется Filtered Attribute Set (FAS). Сюда относятся такие атрибуты, как ms-PKI-AccountCredentials, ms-FVE-RecoveryPassword, ms-PKI-DPAPIMasterKeys и т.д. В случае необходимости в этот набор можно добавить и другие атрибуты, например при использовании LAPS, в него следует добавить атрибут ms-MCS-AdmPwd.
4. При получении контроллером RODC запроса на аутентификацию от пользователя, он перенаправляет этот запрос на RWDC контроллер.
5. Контроллер RODC может кэшировать учетные данные некоторых пользователей (это ускоряет скорость авторизации и позволяет пользователям авторизоваться на контроллере домена, даже при отсутствии связи с полноценным DC).
6. На контроллеры домена RODC можно давать административный доступ обычным пользователям (например, техническому специалисту филиала).

Требования, которые должны быть выполнены для разворачивания Read-Only Domain Controller.

1. На сервере должен быть назначен статический IP
2. Файервол должен быть отключен или корректно настроен для прохождения трафика между DC и доступа от клиентов
3. В качестве DNS сервера должен быть указан ближайший RWDC контроллер

Установка RODC из графического интерфейса Server Manager

Откройте консоль Server Manager и добавьте роль Active Directory Domain Services (согласитесь с установкой всех дополнительных компонентов и средств управления).

На этапе указания настроек нового DC, укажите что нужно добавить новый контроллер домена в существующий домен (Add a domain controller to an existing domain), укажите имя домена и, если необходимо, данные учетной записи пользователя с правами администратора домена.

Выберите, что нужно установить роль DNS сервера, глобального каталога (GC) и RODC. Далее выберите сайт, в котором будет находится новый контролер и пароль для доступа в DSRM режиме.

В следующем окне указания параметров RODC нужно указать пользователей, которым нужно предоставить административной доступ к контроллеру домена, а также список учетных записей/групп, пароли которых разрешено и запрещено реплицировать на данный RODC (можно задать и позднее).

Укажите, что данные базы AD можно реплицировать с любого DC.

Затем укажите пути к базе NTDS, ее журналам и папке SYSVOL (в случае необходимости их можно перенести на другой диск позднее).

На этом все. После проверки всех условий, можно запустить установку роли.

Установка RODC с помощью PowerShell

Для разворачивания нового RODC с помощью PowerShell, нужно установить роль ADDS и PowerShell модуль ADDS.

Add-WindowsFeature AD-Domain-Services, RSAT-AD-AdminCenter,RSAT-ADDS-Tools

Теперь можно запустить установку RODC:

Install-ADDSDomainController -ReadOnlyReplica -DomainName yourdimain.com -SiteName «Default-First-Site-Name» -InstallDns:$true -NoGlobalCatalog:$false

После окончания работы командлет запросит перезагрузку сервера.

Проверить, что сервер работает в режиме RODC можно с помощью команды:

Get-ADDomainController -Identity S2016VMLT

Значение атрибута IsReadOnly должно быть True.

Политики репликации паролей RODC

На каждом RODC можно определить список пользователей и групп, пароли которых можно или нельзя реплицировать на данный контроле домена.

По умолчанию в домене создаются две новые глобальные группы

1. Allowed RODC Password Replication Group
2. Denied RODC Password Replication Group

Первая группа по умолчанию пуста, а во второй содержатся административные группы безопасности, пароли пользователей которых нельзя реплицировать и кэшировать на RODC с целью исключения риска их компрометации. Сюда по-умолчанию входят такие группы, как:

• Group Policy Creator Owners
• Domain Admins
• Cert Publishers
• Enterprise Admins
• Schema Admins
• Аккаунт krbtgt
• Account Operators
• Server Operators
• Backup Operators

Как правило, в группу Allowed RODC Password Replication Group можно добавить группы пользователей филиала, который обслуживает данный RODC.

В том случае, если в домене несколько DC, стоит создать такие группы индивидуально для каждого RODC. Привязка групп к контроллеру домена RODC выполняется в свойствах сервера в консоли ADUC на вкладке Password
Replication Policy (подробнее).

При подключении консолью ADUC к контроллеру домена с ролью RODC даже администратору домена будет недоступно редактирование атрибутов пользователей/компьютеров (поля недоступны для редактирования) или создание новых.

Обновление контроллеров домена до Windows Server 2016 Upgrade Domain Controllers to Windows Server 2016

Область применения. Windows Server Applies To: Windows Server

В этом разделе содержатся фундаментальные сведения о службах домен Active Directory в Windows Server 2016 и объясняется процесс обновления контроллеров домена с Windows Server 2012 или Windows Server 2012 R2. This topic provides background information about Active Directory Domain Services in Windows Server 2016 and explains the process for upgrading domain controllers from Windows Server 2012 or Windows Server 2012 R2.

Предварительные требования Pre-requisites

Рекомендуемый способ обновления домена — повысить уровень контроллеров домена, на которых работают более новые версии Windows Server, и при необходимости понизить прежние контроллеры домена. The recommended way to upgrade a domain is to promote domain controllers that run newer versions of Windows Server and demote the older domain controllers as needed. Этот метод является предпочтительным для обновления операционной системы существующего контроллера домена. That method is preferable to upgrading the operating system of an existing domain controller. В этом списке описаны общие шаги, которые необходимо выполнить перед повышением уровня контроллера домена под управлением более новой версии Windows Server. This list covers general steps to follow before you promote a domain controller that runs a newer version of Windows Server:

1. Убедитесь, что целевой сервер отвечает требованиям к системе. Verify the target server meets system requirements.
2. Проверьте совместимость приложений. Verify Application compatibility.
3. Ознакомьтесь с рекомендациями по переходу на Windows Server 2016 Review Recommendations for moving to Windows Server 2016
4. Проверьте параметры безопасности. Verify security settings. Дополнительные сведения см. в разделе устаревшие функции и изменения в работе, связанные с AD DS в Windows Server 2016. For more information, see Deprecated features and behavior changes related to AD DS in Windows Server 2016.
5. Проверьте подключение к целевому серверу с компьютера, где планируется установка. Check connectivity to the target server from the computer where you plan to run the installation.
6. Проверьте доступность необходимых ролей хозяина операций. Check for availability of necessary operation master roles:
   • Чтобы установить первый контроллер домена под управлением Windows Server 2016 в существующем домене и лесу, на компьютере, где выполняется установка, необходимо подключиться к хозяину схемы , чтобы запустить adprep/forestprep и хозяин инфраструктуры для запуска Adprep/домаинпреп. To install the first DC that runs Windows Server 2016 in an existing domain and forest, the machine where you run the installation needs connectivity to the schema master in order to run adprep /forestprep and the infrastructure master in order to run adprep /domainprep.
   • Чтобы установить первый контроллер домена в домене, где схема леса уже расширена, требуется подключение только к хозяину инфраструктуры. To install the first DC in a domain where the forest schema is already extended, you only need connectivity to the infrastructure master.
   • Для установки или удаления домена в существующем лесу необходимо подключение к хозяину именования доменов. To install or remove a domain in an existing forest, you need connectivity to the domain naming master.
   • Для установки контроллера домена также требуется подключение к хозяину RID. Any domain controller installation also requires connectivity to the RID master.
   • Если вы устанавливаете первый контроллер домена только для чтения в существующем лесу, вам потребуется подключение к хозяину инфраструктуры для каждого раздела каталога приложений, также известного как контекст именования не в ДОМЕНЕ или нднк. If you are installing the first read-only domain controller in an existing forest, you need connectivity to the infrastructure master for each application directory partition, also known as a non-domain naming context or NDNC.

Этапы установки и требуемые административные уровни Installation steps and required administrative levels

В следующей таблице приведена сводка этапов обновления и требования к разрешениям для выполнения этих действий. The following table provides a summary of the upgrade steps and the permission requirements to accomplish these steps

Действие установки Installation action	Требования к учетным данным Credential requirements
Установка нового леса Install a new forest	Локальный администратор на целевом сервере Local Administrator on the target server
Установка нового домена в существующем лесу Install a new domain in an existing forest	Администраторы предприятия Enterprise Admins
Установка дополнительного контроллера домена в существующем домене Install an additional DC in an existing domain	Администраторы домена Domain Admins
Выполнение команды adprep /forestprep Run adprep /forestprep	Администраторы схемы, администраторы предприятия и администраторы домена Schema Admins, Enterprise Admins, and Domain Admins
Выполнение команды adprep /domainprep Run adprep /domainprep	Администраторы домена Domain Admins
Выполнение команды adprep /domainprep /gpprep Run adprep /domainprep /gpprep	Администраторы домена Domain Admins
Выполнение команды adprep /rodcprep Run adprep /rodcprep	Администраторы предприятия Enterprise Admins

Дополнительные сведения о новых возможностях Windows Server 2016 см. в статье новые возможности Windows server 2016. For additional information on new features in Windows Server 2016, see What’s new in Windows Server 2016.

Поддерживаемые варианты обновления на месте Supported in-place upgrade paths

Контроллеры домена под управлением 64-разрядных версий Windows Server 2012 или Windows Server 2012 R2 можно обновить до Windows Server 2016. Domain controllers that run 64-bit versions of Windows Server 2012 or Windows Server 2012 R2 can be upgraded to Windows Server 2016. Поддерживаются только обновления 64-разрядных версий, так как Windows Server 2016 поставляется только в виде 64-разрядной версии. Only 64-bit version upgrades are supported because Windows Server 2016 only comes in a 64-bit version.

Используемый выпуск If you are running this edition:	Доступно обновление до следующих выпусков You can upgrade to these editions:
Windows Server 2012 Standard Windows Server 2012 Standard	Windows Server 2016 Standard или Datacenter Windows Server 2016 Standard or Datacenter
Windows Server 2012 Datacenter Windows Server 2012 Datacenter	Windows Server 2016 Datacenter Windows Server 2016 Datacenter
Windows Server 2012 R2 Standard Windows Server 2012 R2 Standard	Windows Server 2016 Standard или Datacenter Windows Server 2016 Standard or Datacenter
Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Datacenter	Windows Server 2016 Datacenter Windows Server 2016 Datacenter
Windows Server 2012 R2 Essentials Windows Server 2012 R2 Essentials	Windows Server 2016 Essentials Windows Server 2016 Essentials
Windows Storage Server 2012 Standard Windows Storage Server 2012 Standard	Windows Storage Server 2016 Standard Windows Storage Server 2016 Standard
Windows Storage Server 2012 Workgroup Windows Storage Server 2012 Workgroup	Windows Storage Server 2016 Workgroup Windows Storage Server 2016 Workgroup
Windows Storage Server 2012 R2 Standard Windows Storage Server 2012 R2 Standard	Windows Storage Server 2016 Standard Windows Storage Server 2016 Standard
Windows Storage Server 2012 R2 Workgroup Windows Storage Server 2012 R2 Workgroup	Windows Storage Server 2016 Workgroup Windows Storage Server 2016 Workgroup

Дополнительные сведения о поддерживаемых путях обновления см. в разделе Поддерживаемые варианты обновления . For more information about supported upgrade paths, see Supported Upgrade Paths

Adprep и domainprep Adprep and Domainprep

При выполнении обновления на месте существующего контроллера домена до операционной системы Windows Server 2016 необходимо выполнить adprep/forestprep и adprep/domainprep вручную. If you are doing an in-place upgrade of an existing domain controller to the Windows Server 2016 operating system, you will need to run adprep /forestprep and adprep /domainprep manually. Adprep/forestprep необходимо запустить в лесу только один раз. Adprep /forestprep needs to be run only once in the forest. Программа adprep/domainprep должна запускаться один раз в каждом домене, в котором имеются контроллеры домена, обновляемые до Windows Server 2016. Adprep /domainprep needs to be run once in each domain in which you have domain controllers that you are upgrading to Windows Server 2016.

При повышении уровня нового сервера Windows Server 2016 вам не нужно запускать их вручную. If you are promoting a new Windows Server 2016 server you do not need to run these manually. Они встроены в PowerShell и диспетчер сервера возможности. These are integrated into the PowerShell and Server Manager experiences.

Дополнительные сведения о запуске Adprep см. в разделе Выполнение Adprep . For more information on running adprep see Running Adprep

Возможности режимов работы и требования Functional level features and requirements

Для Windows Server 2016 требуется функциональный уровень леса Windows Server 2003. Windows Server 2016 requires a Windows Server 2003 forest functional level. Это значит, что перед добавлением контроллера домена под управлением Windows Server 2016 в существующий лес Active Directory в качестве функционального уровня леса необходимо использовать Windows Server 2003 или более поздней версии. That is, before you can add a domain controller that runs Windows Server 2016 to an existing Active Directory forest, the forest functional level must be Windows Server 2003 or higher. Если в лесу есть контроллеры домена под управлением Windows Server 2003 или новее, но режим работы леса соответствует Windows 2000, то установка также блокируется. If the forest contains domain controllers running Windows Server 2003 or later but the forest functional level is still Windows 2000, the installation is also blocked.

Перед добавлением контроллеров домена Windows Server 2016 в лес необходимо удалить контроллеры домена Windows 2000. Windows 2000 domain controllers must be removed prior to adding Windows Server 2016 domain controllers to your forest. В этом случае порядок действий будет следующим. In this case, consider the following workflow:

1. Установите контроллеры домена под управлением Windows Server 2003 или более поздней версии. Install domain controllers that run Windows Server 2003 or later. Эти контроллеры домена можно развертывать в ознакомительной версии Windows Server. These domain controllers can be deployed on an evaluation version of Windows Server. Для этого шага нужно также запустить программу adprep.exe для соответствующей операционной системы. This step also requires running adprep.exe for that operating system release as a prerequisite.
2. Удалите контроллеры домена под управлением Windows 2000. Remove the Windows 2000 domain controllers. В частности, надлежащим образом понизьте уровень контроллеров домена под управлением Windows Server 2000 или принудительно удалите их из домена и при помощи компонента «Пользователи и компьютеры Active Directory» удалите учетные записи для всех удаленных контроллеров домена. Specifically, gracefully demote or forcibly remove Windows Server 2000 domain controllers from the domain and used Active Directory Users and Computers to remove the domain controller accounts for all removed domain controllers.
3. Повысьте режим работы леса до Windows Server 2003 или выше. Raise the forest functional level to Windows Server 2003 or higher.
4. Установите контроллеры домена под управлением Windows Server 2016. Install domain controllers that run Windows Server 2016.
5. Удалите контроллеры домена под управлением более ранних версий Windows Server. Remove domain controllers that run earlier versions of Windows Server.

Откат функциональных уровней Rolling back functional levels

После настройки режима работы леса (FFL) на определенное значение невозможно выполнить откат или понижение режима работы леса, за исключением следующих: After you set the forest functional level (FFL) to a certain value, you cannot roll back or lower the forest functional level, with the following exceptions:

• При обновлении с Windows Server 2012 R2 FFL можно уменьшить его до Windows Server 2012 R2. If you are upgrading from Windows Server 2012 R2 FFL, you can lower it back to Windows Server 2012 R2.
• При обновлении с Windows Server 2008 R2 FFL можно уменьшить его до Windows Server 2008 R2. If you are upgrading from Windows Server 2008 R2 FFL, you can lower it back to Windows Server 2008 R2.

После того как для режима работы домена задано определенное значение, откат или понижение режима работы домена невозможно, за исключением следующих: After you set the domain functional level to a certain value, you cannot roll back or lower the domain functional level, with the following exceptions:

• При повышении режима работы домена до Windows Server 2016, если режим работы леса — Windows Server 2012 или более ранняя, у вас есть возможность изменить режим работы домена на Windows Server 2012 или Windows Server 2012 R2. When you raise the domain functional level to Windows Server 2016 and if the forest functional level is Windows Server 2012 or lower, you have the option of rolling the domain functional level back to Windows Server 2012 or Windows Server 2012 R2.

Дополнительные сведения о возможностях, доступных при более низких режимах работы, см. в разделе Общее представление о режимах работы доменных служб Active Directory (AD DS). For more information about features that are available at lower functional levels, see Understanding Active Directory Domain Services (AD DS) Functional Levels.

Взаимодействие доменных служб Active Directory с другими ролями сервера и операционными системами Windows AD DS interoperability with other server roles and Windows operating systems

Доменные службы Active Directory не поддерживаются в следующих операционных системах Windows: AD DS is not supported on the following Windows operating systems:

• Windows MultiPoint Server Windows MultiPoint Server
• Windows Server 2016 Essentials Windows Server 2016 Essentials

Доменные службы Active Directory нельзя установить на сервере, на котором выполняются следующие роли или службы ролей: AD DS cannot be installed on a server that also runs the following server roles or role services:

• Microsoft Hyper-V Server 2016 Microsoft Hyper-V Server 2016
• Посредник подключений к удаленному рабочему столу Remote Desktop Connection Broker

Администрирование серверов Windows Server 2016 Administration of Windows Server 2016 servers

Используйте средства удаленного администрирования сервера для Windows 10, чтобы управлять контроллерами домена и другими серверами под управлением Windows Server 2016. Use the Remote Server Administration Tools for Windows 10 to manage domain controllers and other servers that run Windows Server 2016. Средства удаленного администрирования сервера Windows Server 2016 можно запустить на компьютере под управлением Windows 10. You can run the Windows Server 2016 Remote Server Administration Tools on a computer that runs Windows 10.

Пошаговые инструкции по обновлению до Windows Server 2016 Step-by-Step for Upgrading to Windows Server 2016

Ниже приведен простой пример обновления леса contoso с Windows Server 2012 R2 до Windows Server 2016. The following is a simple example of upgrading the Contoso forest from Windows Server 2012 R2 to Windows Server 2016.

Присоедините новый сервер Windows Server 2016 к лесу. Join the new Windows Server 2016 to your forest. При появлении запроса перезагрузите компьютер. Restart when prompted.

Войдите на новый сервер Windows Server 2016 с учетной записью администратора домена. Sign in to the new Windows Server 2016 with a domain admin account.

В Диспетчер сервера в разделе Добавление ролей и компонентов установите службы домен Active Directory на новом сервере Windows Server 2016. In Server Manager, under Add Roles and Features, install Active Directory Domain Services on the new Windows Server 2016. Программа Adprep будет автоматически запущена в лесу и домене 2012 R2. This will automatically run adprep on the 2012 R2 forest and domain.

В Диспетчер сервера щелкните желтый треугольник и в раскрывающемся списке выберите повысить уровень сервера до контроллера домена. In Server Manager, click the yellow triangle, and from the drop-down click Promote the server to a domain controller.

На экране Конфигурация развертывания выберите Добавить контроллер домена в существующий лес и нажмите кнопку Далее. On the Deployment Configuration screen, select Add a domain controller to an existing forest and click next.

На экране параметры контроллера домена введите пароль в режиме восстановления служб каталогов (DSRM) и нажмите кнопку Далее. On the Domain Controller options screen, enter the Directory Services Restore Mode (DSRM) password and click next.

В оставшейся части экрана нажмите кнопку Далее. For the remainder of the screens click Next.

На экране Проверка готовности нажмите кнопку установить. On the Prerequisite Check screen, click install. После завершения перезагрузки можно снова войти в систему. Once the restart has completed you can sign back in.

На сервере Windows Server 2012 R2 в Диспетчер сервера в разделе средства выберите Active Directory модуль для Windows PowerShell. On the Windows Server 2012 R2 server, in Server Manager, under tools, select Active Directory Module for Windows PowerShell.

В Windows PowerShell используйте Move-ADDirectoryServerOperationMasterRole, чтобы переместить роли FSMO. In the PowerShell windows use the Move-ADDirectoryServerOperationMasterRole to move the FSMO roles. Можно ввести имя каждого параметра-Оператионмастерроле или использовать числа, чтобы указать роли. You can type the name of each -OperationMasterRole or use numbers to specify the roles. Дополнительные сведения см. в разделе Move-аддиректорисервероператионмастерроле . For more information see Move-ADDirectoryServerOperationMasterRole

Убедитесь, что роли перемещены, перейдя на сервер Windows Server 2016, в Диспетчер сервера в разделе средства выберите Active Directory модуль для Windows PowerShell. Verify the roles have been moved by going to the Windows Server 2016 server, in Server Manager, under tools, select Active Directory Module for Windows PowerShell. Используйте Get-ADDomain Get-ADForest командлеты и для просмотра владельцев ролей FSMO. Use the Get-ADDomain and Get-ADForest cmdlets to view the FSMO role holders.

Понизьте и удалите контроллер домена Windows Server 2012 R2. Demote and remove the Windows Server 2012 R2 domain controller. Сведения о понижении роли контроллера домена см. в статье понижение роли контроллеров доменов и доменов . For information on demoting a dc, see Demoting Domain Controllers and Domains

После понижения и удаления сервера можно повысить функциональные уровни леса и функциональных уровней домена до Windows Server 2016. Once the server is demoted and removed you can raise the forest functional and domain functional levels to Windows Server 2016.