Windows Server 2008 Core till en RODC

Nej jag vet att inte Server Core hör till huvudämnet på den här bloggen och en ISA/TMG inte kan köras på en Core. Men kanske är det av intresse att ha en Windows Core Read Only Domain Controller i det subnät som din ISA är placerad.

Det finns fina guider lite överallt på nätet över hur du skall sätta upp din Core Server som en RODC, dock lyckades jag stöta på åtskilliga problem som jag tänkte spalta upp här nedan.

Du sätter upp din DC med hjälp av DCPROMO och en svarsfil. Jag använde svarsfilen från kb947034 vilket såg ut som följande för RODC:

[DCINSTALL]
UserName=<The administrative account in the domain of the new domain controller>
UserDomain=<The name of the domain of the user account>
PasswordReplicationDenied=<The names of the user, group, and computer accounts whose passwords are not to be replicated to this RODC>
PasswordReplicationAllowed =<The names of the user, group, and computer accounts whose passwords can be replicated to this RODC>
DelegatedAdmin=<The user or group account name that will install and administer the RODC>
SiteName=Default-First-Site-Name
CreateDNSDelegation=no
CriticalReplicationOnly=yes
Password=<The password for the UserName account>
ReplicaOrNewDomain=ReadOnlyReplica
ReplicaDomainDNSName=<The FQDN of the domain in which you want to add an additional domain controller>
DatabasePath= "<The path of a folder on a local volume>"
LogPath="<The path of a folder on a local volume>"
SYSVOLPath="<The path of a folder on a local volume>"
InstallDNS=yes
ConfirmGC=yes
RebootOnCompletion=yes

————————————————————————–

Man använder någon av följande växlar för att hämta svarsfilen DCPROMO /answer:<svarsfil> eller DCPROMO /unattend:<svarsfil>
Vet inte om det är några störra skillnader på dessa växlar.

Det första felet som uppstår är följande:

The wizard cannot gain access to the list of domains in the forest. The error is:
The specified domain either does not exist or could not be contacted.

Jag hittade flera faktorer som kunde orsaka det här men den slutgiltiga lösningen var att "File and printer sharing for Microsoft Network" var aktiverat på min DC. Då både NTLM och SYSVOL mappen behöver nås från Core servern krävs det att detta är påslaget. 

Självklart uppstår ytterligare fel:

The directory services safe mode password does not meet password complexity criteria.

Det här berodde på att Microsoft glömt ta med följande sträng i sitt exempel på svarsfil: SafeModeAdminPassword

Min slutgiltiga svarsfil såg ut enligt följande:

image 
Password var ifyllt när kommandot kördes men raderades vid lösning av svarsfil. God work Microsoft! Vägde någorlunda upp mitt strul med Safe mode password felet, dock mitt fel att jag började köra ntdsutil för att ange nytt DSRM på DCn, men men.. det är inte alltid man är på det klara.

Nu är det uppe och snurrar iallafall

image

Advertisements
Det här inlägget postades i Active Directory, Microsoft Windows. Bokmärk permalänken.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s