Windows Server 2008 RODCs (Read Only Domain Controllers) - Pré-Requisitos
Para que você instale com sucesso uma infraestrutura de RODCs, alguns requisitos precisam ser preenchidos:
- Nível da Floresta do AD: Windows Server 2003 Nativo ou Superior. Isto é necessário porque neste modo a feature LVR (linked-value replication) é ativado. Essa característica melhora o nível de consistência de replicação do AD e performance. Por exemplo, sem o LVR, se você alterar o membro de um grupo existente do AD (por exemplo, remover um usuário de um grupo), esse grupo inteiro é replicado para os outros DCs. Com o LVR ativado, apenas o usuário alterado é replicado. Isto claro, garante uma performance muito melhor. Para maiores informações sobre como proceder para fazer um "raise" da floresta, consulte: Aumentando o nível de funcionalidades da Floresta e Domínio em uma
- Nível de Domínio do AD: Windows Server 2003 Nativo ou Superior. Isto também é necessário para ativar outra feature, chamado Kerberos constrained delegation. Essa feature precisa estar ativada porque o RODC possui uma conta responsável pela geração de tickets Kerberos e comunicação com DCs full.
- Preparar a floresta e domínio com o ADPREP. Para adicionar esse novo elemento em sua rede, você precisa preparar o schema do AD e os security descriptors, por isso, é necessário utilizar o comando adprep.exe, conforme segue-se:
- adprep/forestprep: execute esse comando no servidor que é o seu Schema Master da Floresta. Para maiores informações: Prepare a Windows 2000 or Windows Server 2003 Forest Schema for a Domain Controller That Runs Windows Server 2008.
- adprep/domainprep /gpprep: esse comando deve ser executado no Infrastructure Master. Para maiores informações: Prepare a Windows 2000 or Windows Server 2003 Domain for a Domain Controller That Runs Windows Server 2008.
- adprep /rodcprep: esse é comando que vai realmente preparar sua infraestrutura (como por exemplo orientando os servidores de DNS que também são DCs a manterem sua base read-only) para absorver um RODC. É muito importante que na execução destes comandos ,você garanta que a replicação aconteça para todo o seu ambiente. Para maiores informações, consulte: Prepare a Forest for a Read-Only Domain Controller.
- Pelo menos 1 DC em seu ambiente precisa ser Windows Server 2008 + Full DC. Isto é importante porque o RODC só consegue replicar a partição Domain a partir de um Windows Server 2008 AD Full. Como sabemos, há 3 partições default para replicação do AD: Schema (que contém o schema do AD), Configuration (que contém configurações de Site e Services, IP subnets, etc) e Domain (que contém os objetos propriamente ditos, como usuários e computadores). Ele até consegue replicar as outras partições (Schema e Configuration) usando um Windows Server 2003 como replication partner, mas a partição principal, Domain, apenas a partir de um servidor Windows Server 2008 FULL. Assim, como primeiro passo, antes de se instalar um RODC, você já deve ter promovido um Windows Server 2008, por exemplo, em sua matriz. Claro que por redundância você pode ter pelo menos 2 servidores neste estado.
A seguinte documentação contém mais informações a respeito: