Windows Server 2008:読み取り専用ドメインコントローラ( RODC ) の 2 ステージインストールを無人セットアップファイルで実施する

読み取り専用ドメインコントローラ( RODC )の2ステージインストール手順については1つ前の記事に書きました。

Windows Server 2008:読み取り専用ドメインコントローラ( RODC )の 2 ステージインストールとは
https://blogs.technet.com/junichia/archive/2007/08/22/windows-server-2008-rodc-2.aspx

この方法を使用することで、作業の半分を現地管理者に任せてしまうことができますし、現地管理者に「俺がインストールしたんだっ!」と自覚を持っていただくというメリットも望めます。

ただ、ウィザードを使ったインストールであっても...やはり慣れていない方には難しかったりしますよね...。

では、インストール作業をさらに単純化できないか?

はい、できます。Windowsお得意の無人インストールです。

ドメインコントローラへの昇格や降格を行う場合、dcpromo.exe を使用することはご存知の通りですが、その際に表示されるウィザードの一番最後で、ここまでに入力した値を「無人セットアップ用のテキストファイル」に保存することができるのです。このファイルを、dcpromo の引数に与えれば、手で行った作業をすべて自動的に実施することができます。

もちろん、2ステージインストールも同様に、それぞれを自動化することが可能です。

ステージ1で使用可能な無人セットアップファイル
[DCInstall];昇格したいドメインのDNS名ReplicaDomainDNSName=example.jp;RODCにするコンピュータのホスト名TargetDcName=rodc2;パスワード複製ポリシー(拒否グループ)OnDemandDenied="BUILTIN\Administrators";パスワード複製ポリシー(拒否グループ)OnDemandDenied="BUILTIN\Server Operators";パスワード複製ポリシー(拒否グループ)OnDemandDenied="BUILTIN\Backup Operators";パスワード複製ポリシー(拒否グループ)OnDemandDenied="BUILTIN\Account Operators";パスワード複製ポリシー(拒否グループ)OnDemandDenied="EXAMPLE\Denied RODC Password Replication Group";パスワード複製ポリシー(許可グループ)OnDemandAllowed="EXAMPLE\Allowed RODC Password Replication Group";管理を委任したいドメインユーザーServerAdmin="annou";RODCを所属させるサイトSiteName=OKINAWA;DNSをインストールする場合はYESInstallDNS=Yes;GCを任せる場合にはYESConfirmGc=Yes;昇格時の複製元となるドメインコントローラReplicationSourceDC=2008DC1.example.jp

上記ファイルをメモ帳等で保存し、以下のコマンドを実施すればステージ1が完了し、Domain Controllers OU 配下に RODC のコンピュータアカウントが作成されます。

dcpromo.exe /CreateDCAccount /ReplicaDomainDNSName:example.jp /unattend:<保存した無人セットアップファイルのファイル名>

 

ステージ2で使用可能な無人セットアップファイル

[DCInstall];昇格したいドメインのDNS名ReplicaDomainDNSName=example.jp ;DNSサーバーの委任を行うかどうかDNSDelegation=No;昇格時に使用する管理者アカウントのドメイン名UserDomain=example.jp;昇格時に使用する委任された管理者アカウントUserName=example.jp\annou;昇格時に使用する委任された管理者アカウントのパスワード(アスタリスクを指定する)Password=*;ADデータベースのパスDatabasePath="C:\Windows\NTDS";ADログファイルのパスLogPath="C:\Windows\NTDS";AD SYSVOLのパスSYSVOLPath="C:\Windows\SYSVOL";復元モードに入るためのパスワード(必ずダブルクオーテーションで括ること)SafeModeAdminPassword="password";完了後の自動再起動RebootOnCompletion=Yes

上記のファイルを保存して、以下のコマンドに指定すれば、ステージ1で作成したアカウントを使用してRODCをインストールすることができます。 

dcpromo.exe /useExistingAccount:Attach /unattend:<無人セットアップファイルのファイル名>

ただ、1点だけ。途中、委任された管理者ユーザーのパスワードだけ入力する必要がありますので、事前に現地担当者にパスワードを認識しておいてもうらう必要があります。

参考サイト
Unattended Installation Options(機械翻訳付き)
https://www.microsoft.com/japan/technet/windowsserver/2008/library/d2521765-9e7b-44b6-9021-496908f4b952.mspx