Promote Read Only Domain Controller
- Details
- Category: Deployment
- Published on 06/09/2012
- Hits: 13989
ในบางครั้งเราก็ต้องการควบคุมการใช้งาน Active Directory บน Domain Controller กันบ้างในกรณีที่ต้องมีการติดตั้ง DC มากกว่า 1 เครื่อง เนื่องด้วยเหตุผลนานัปการ ซึ่งถ้าหากใช้การติดตั้งแบบ Additional DC ธรรมดานั้นก็อาจจะควบคุมลำบาก เพราะอีกฝั่งสามารถทำอะไรกับ AD ก็ได้ ดังนั้นจึงอาจใช้การติดตั้งแบบ Read Only Domain Controller (RODC) เข้ามาช่วยควบคุมเรื่องนี้
RODC ก็คือ Domain Controller เครื่องนึงแหล่ะครับ แต่ด้วยความที่ว่ามันสามารถอ่านได้อย่างเดียว นั่นคือ สามารถเรียกดูได้เท่านั้น ไม่สามารถเพิ่ม แก้ไข หรือลบ ข้อมูลที่จำเป็นได้ ซึ่งเหมาะสำหรับการติดตั้งที่ Site ที่มีการใช้งานยืนยันตัวตนผ่าน AD โดยที่ AD นั้นอาจจะอยู่ต่างสถานที่กัน ทำให้การเข้าใช้งานเป็นไปได้ช้า เราก็จำเป็นต้องติดตั้ง RODC ไว้ที่ Site ดังกล่าวเพื่อให้การยืนยันตัวตนทำได้รวดเร็วขึ้น และควบคุมการซุกซนได้อีกด้วย ซึ่งถือได้ว่าเป็น Domain Controller สำรองได้เหมือนกับ Additional Domain Controller เครื่องหนึ่งเลยแหล่ะ
ก่อนจะติดตั้ง RODC เข้าเป็นสมาชิกโดเมนนั้น ต้องตรวจสอบ Requirement ดังนี้
Forest functional level จะต้องมีค่าเป็น Windows Servers 2003 หรือสูงกว่า เช่น Windows Servers 2008 และ Windows Servers 2008 R2 ผมไม่ได้หมายถึงเวอร์ชั่นของ Windows Server ที่ติดตั้งนะครับ ผมหมายถึงตัว Schema ซึ่งสามารถตรวจสอบได้ผ่านทางเครื่องมือ Active Directory Domains and Trusts โดยคลิกขวาแล้วเลือก Raise Forest Functional Level
Functional Level ปัจจุบันเป็น Windows Server 2003 เท่ากับว่าผ่านเงื่อนไขแรกไปแล้วครับ
Run คำสั่ง adprep /rodcprep บนเครื่อง Domain Controller ด้วยสิทธิ์ผู้ใช้งานของสมาชิกกลุ่ม Enterprise Admins หรือสูงกว่า ซึ่งขั้นตอนนี้สามารถข้ามไปได้ หากภายใน Forest ของคุณมีการใช้งาน Domain Controller Windows Server 2008 ขึ้นไปเท่านั้น ซึ่งตัวอย่างนี้มีเพียง Windows Server 2008 R2 เท่านั้นที่ถูกใช้งานเป็น DC ดังนั้นจึงข้ามขั้นตอนนี้ไปได้
การรันคำสั่ง adprep /rodcprep สามารถทำได้จากแผ่นติดตั้ง Windows Server 2008 ซึ่งจะอยู่ที่โฟลเดอร์ support\adprep โดยให้คุณใช้ Command Prompt ทำการ Browse เข้าไปยังตำแหน่งดังกล่าว แล้วรันคำสั่ง adprep /rodcprep จากนั้นก็รอจนกว่าจะเสร็จ
Deploying RODC
กลับมาบนเครื่อง Windows Server 2008 ที่ตัวเปล่าล่อนจ้อน ให้เริ่มที่ Start > Run พิมพ์ dcpromo แล้วคลิก Next ไปจนถึงหน้า Choose a Deployment Configuration เลือก Existing forest > Add a domain controller to an existing domain
หน้า Network Credentials พิมพ์ Domain name ที่ต้องการเข้าเป็นสมาชิก จากนั้นคลิกปุ่ม Set เพื่อระบุ Account ที่มีอยู่บน Active Directory โดย Account นี้จะต้องเป็นสมาชิกกลุ่ม Domain Admins
หน้า Select a Domain เลือก Domain name ที่มีอยู่ใน Forest ที่ต้องการเพิ่ม RODC
หน้า Select a Site เลือก Site name สำหรับ RODC
หน้า Additional Domain Controller Options เพิ่มตัวเลือก Read-only domain controller (RODC)
หน้า Delegation of RODC Installation and Administration เป็นการกำหนดสิทธิ์ให้ User หรือ Group มีสิทธิ์ในการจัดการ RODC ได้ ซึ่งจะข้ามไปก่อน ให้คลิก Next
หน้า Location for Database, Log Files, and SYSVOL คลิก Next
หน้า Directory Services Restore Mode Administrator Password พิมพ์รหัสผ่านสำหรับการ Restore แล้วคลิก Next
หน้า Summary คลิก Next
รอจนกว่าจะติดตั้งเสร็จ แล้ว Reboot เครื่อง 1 ครั้ง และเมื่อ Reboot เสร็จแล้ว ให้คุณตรวจสอบเครื่อง RODC จะพบว่า
อ้าว ไหนบอกว่า Read-only ไง ทำไมมัน New ได้ล่ะเนี่ย ผมก็ต้องบอกว่า พอตอนมัน Reboot ขึ้นมานั้น ตัว UI เนี้ย มัน Connect ไปที่ Domain Controller ตัวหลักครับ ดังนั้นคุณต้องเปลี่ยนให้มันกลับมา Connect เครื่องตัวเองโดยการคลิกขวาที่ Active Directory Users and Computers แล้วเลือก Change Domain Controller
Dialog Change Directory Server ให้เลือกเครื่อง RODC ครับ ในตัวอย่างนี้ก็คือเครื่อง DC2 แล้วคลิก OK
เอาล่ะครับ คราวนี้เมนู New ก็ได้หายไปแล้ว
จะทำอะไรก็ติดไปหมด ก็มัน Read-only นี่นา
อันที่จริงยังมีวิธีการตั้งค่าอีกเล็กน้อยสำหรับการใช้งาน User Account อีกนะ คอยติดตามเอาละกัน
