今天因為公司有需求必須架設壹台 唯讀網域控制站 (RODC) 起來,由於我公司裡有兩台 DC,基本上運作沒啥問題,不疑有他的直接開始安裝,不過安裝過程實在是非常的不順利,問了幾個人都說 RODC 很簡單,也從來沒有人遇過有裝不起來的狀況(突然驚覺我經常遇到這種很背的事),不過還好後來還是解決了,特別記錄一下解決問題的過程筆記。
安裝第一部 RODC 之前,您必須先執行 adprep /rodcprep 命令。RODC 必須從執行 Windows Server 2008 的網域控制站複寫網域資料。因此,在決定 RODC 位置時,複寫乃是最重要的考量。
基本上我在 Windows Server 2008 的完整安裝上安裝 RODC,相關步驟請參考【部署 RODC 的步驟】,但是安裝到最後一步時卻發生以下錯誤:
這個問題實在讓我覺得莫名其妙,難道我的 AD 又髒掉了嗎?前幾天才剛設定好壹台 DC 並沒有發生任何複寫問題,而我用 Repadmin 也查不出問題,且 adprop /rodcprep 也都執行過了,AD 物件與權限照理說應該都妥當設定才對,不過當我用 網域控制站診斷工具 (DCDiag) 檢查後才發現真正的問題:
要解決這個問題,就必須靠 adsiedit.msc 工具來協助設定。以上圖為例,我一開始也看不太懂這句話的意思,後來才理解出這四行描述所表達的意思:<Domain>\Enterprise Read-only Domain Controllers 這個物件在 CN=Configuration,DC=<domain>,DC=<name>,DC=<name> 這個節點沒有 Replicating Directory Changes 的存取權。其設定的方式如下:
記得要選取 Configuration 這項,因為錯誤訊息所表示的就是這個 naming context:
以下是中文版的畫面:
最後我們新增這個 <domain>\Enterprise Read-only Domain Controllers 群組進來,並將 Replicating Directory Changes 權限勾選「允許」,再按下確定即可。
以下是中文版畫面:
如此一來就大功告成!
雖然 RODC 安裝的問題已解決,但唯一無解的是為什麼我的 AD 就是比其他人少了這項權限呢? Orz
相關連結