RODC
Создать контроллер домена только для чтения (RODC)
В данной заметке мы будем использовать staged deployment, в котором мы сначала создадим машинный аккаунт будущего RODC, а потом подключим сервер в качестве RODC.
На обычном контроллере домена нужно выполнить следующую команду:
Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName RODC1 -DomainName domain.local -DelegatedAdministratorAccountName "domain\admin" -SiteName Default-First-Site-Name
После выполнения в разделе domain controllers - появится машинный аккаунт нового RODC.
RODC не нужно вводить в домен перед тем, как выполнять команды прпомоушена нового контроллера домена. RODC автоматически будет введен в домен после их выполнения. Однако, нужно задать имя компьютера, соответствующее имени, которое мы создали в разделе “domain controllers” и обязательно перезагрузиться.
Теперь на будущем RODC нужно установить роль контроллера домена, используя команду
Add-WindowsFeature AD-Domain-Services
После установки роли для staged deployment (вариант развёртывания, в котором мы предварительно создали аккаунт RODC) нужно выполнить промоушен с использованием аккаунта, который мы создали
Install-ADDSDomainController -DomainName domain.local -Credential (Get-Credential) -LogPath "C:\Windows\NTDS" -SYSVOLPath "C:\Windows\SYSVOL" -ReplicationSourceDC "dc1.domain.local" –UseExistingAccount