Windows Server 2012 - Поднимаем RODC через PowerShell

В одной из прошлых заметок я уже писал о проблеме выбора ближайшего RWDC при вводе в домен компьютера попадающего в сайт с RODC. В процессе перевода RODC на Windows Server 2012 на одной из удалённых площадок столкнулся с ситуацией, до боли напоминающей старую проблему… В процессе работы мастера повышения сервера до RODC при попытке выбрать в домене группу для Администраторов RODC или же группы для репликации паролей, диалоговое окно выбора доменных объектов не открывалось и возникала странная ошибка, говорящая о невозможности определения состояния RWDC находящегося совершенно “в другой степи” и не имеющего отношения ни к местному сайту ни к ближайшему RWDC.

Конечно можно было бы не менять настройки на этом шаге мастера и выполнить установку с настройками по умолчанию, а уже после окончания установки назначить группу Администраторов RODC и задать группы репликации паролей, но в голову пришла мысль о том, что выполнить повышение до RODC можно и с помощью PowerShell сразу указав при этом в явном виде все необходимые группы доступа. Собственно далее – небольшая шпаргалка как это сделать.

***

Если это ещё не сделано ранее, вводим компьютер в домен с привязкой процедуры джойна к конкретному ближайшему контроллеру домена RWDC с помощью командлета Add-Computer. Как видно из прошлой заметки, в Win7/2008R2 параметр -Server не работал как мы от него этого ожидали и приходилось указывать контроллер домена после имени домена таким образом:

-DomainName:"holding.com\Best-DC"

а вот в W8/WS2012 по словам моих коллег (сам я это не успел проверить) ситуация изменилась к лучшему и теперь мы можем использовать команду вида:

Add-Computer -DomainName:"holding.com"` 
-Server:"Best-DC" ` 
-Credential:"HOLDING\admin" ` 
-OUPath:"OU=Servers,OU=TCIN,DC=holding,DC=com" ` 
-Verbose -PathThru

***

Перед тем как выполнять процесс повышения в системе должны быть активированы соответствующие фичи. Проверяем статус установки нужных компонент:

Import-Module "ServerManager"
Get-WindowsFeature "Ad-Domain-Services","DNS"

И если нужные компоненты не были установлены ранее, выполняем их установку:

Import-Module "ServerManager" 
Add-WindowsFeature "Ad-Domain-Services","DNS" -IncludeManagementTools

***

Перед тем как повысить сервер до роли контроллера домена выполняем тестирование на предмет соблюдения всех необходимых условий:

$ADDSRestoreModePWD = (ConvertTo-SecureString "Passw0rd" -AsPlainText -Force)

Import-Module "ADDSDeployment"
Test-ADDSDomainControllerInstallation `
-DomainName "holding.com" `
-SafeModeAdministratorPassword $ADDSRestoreModePWD

Если все тесты прошли успешно, можно выполнить повышение сервера до RODC, при этом явно указав группы безопасности которые мы не могли выбрать в случае повышения через графический интерфейс.

$ADDSRestoreModePWD = (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -Force)
Import-Module "ADDSDeployment"
Install-ADDSDomainController `
-DomainName "holding.com" `
-SiteName "tcin" `
-ReplicationSourceDC "Best-DC.holding.com" `
-SafeModeAdministratorPassword $ADDSRestoreModePWD `
-AllowPasswordReplicationAccountName @("HOLDING\TCIN-RO-Users","Domain Computers") `
-DelegatedAdministratorAccountName "HOLDING\TCIN-RO-Admins" `
-InstallDns:$True `
-NoGlobalCatalog:$False `
-ReadOnlyReplica:$True `
-DatabasePath "C:\Windows\NTDS" `
-LogPath "C:\Windows\NTDS" `
-SysvolPath "C:\Windows\SYSVOL" `
-NoRebootOnCompletion:$False `
-Force:$True `
-Verbose

При выполнении в оболочке PowerShell ISE процесс будет выглядеть не менее информативно чем в случае использования GUI-мастера…

После окончания процесса наш сервер будет перезагружен и мы получим желаемый результат без последующих “допиливаний”

Дополнительные источники информации:

TechNet Library - Install a Windows Server 2012 Active Directory Read-Only Domain Controller (RODC) (Level 200)

Simmy's blog - Adding a Server 2012 DC to an existing domain with Powershell