Win2008 R2實戰之只讀域控制器部署(圖)

????? 近日，Contoso公司在廣州又設立了一個分支辦公室，擁有大約40名工作人員，但為了節省運營成本，只申請了一條2M的ADSL進行互聯網應用和與總部數據通信。由于廣州辦廣域網鏈路速度慢、不可靠，而且沒有專業的IT技術人員進行維護，服務器的物理安全也得不到保障，但是這40人每日的都與總部的域控制器進行身份驗證和Internet訪問查詢的話，工作效率必將大大折扣。于是，經過IT部門討論，他們決定在廣州辦部署Windows Server 2008 R2作為只讀域控制器來簡化IT技術人員的工作，提高廣州辦的辦公效率，同時也可以提高廣州辦網絡環境的的安全性。

一、?什么是只讀域控制器（Read-Only Domain Controller）

RODC是Windows Server 2008 新引入的一個活動目錄特性，與其他域控制器一樣，RODC也包含AD數據庫，但除了本地管理員和RODC賬戶，RODC默認不保存域用戶賬戶密碼，并且RODC中包含的數據庫也是只讀的。RODC只能單向的從其他可讀寫域控制器請求信息，而不會把任何修改傳送給其他可寫域控制器，這樣做不僅可以降低橋頭服務器的工作負載及監控負載的工作量，還可以提高分支機構網絡的安全性，同時便于管理。

二、?RODC在Contoso公司應用的好處

只讀活動目錄服務可以降低因物理安全因素帶來的網絡安全威脅。

降低了網絡之間復制的負載。

緩存憑證可以加速分支用戶使用域服務的速度，降低了系統在遭到破壞時暴露的用戶信息的數量。

獨立并有限的管理權限，可降低分支機構管理員權限過大對活動目錄的威脅。

只讀DNS可以加快分支機構訪問Internet的響應時間，但不會做動態更新，如果分支機構向要更新記錄信息，RODC會向可讀寫域控制器的DNS發送一個DNS復制單個對象的改動請求，可讀寫的DNS響應這個請求后，會把改動通過單向復制傳回RODC。

三、?部署RODC的先決條件

1.?森林功能級別需要是Windows 2003或以上級別。

2.?域內需要至少一個Windows 2008域控制器，作為RODC的復制伙伴。

3.?PDC角色必須允許在Windows 2008上。

4.?活動目錄內需要存在正常可讀寫的域控制器。

四、?部署RODC

環境拓撲：如圖1
?

圖1

注意：由于RODC的只讀特性帶來的限制，RODC不能作為橋頭服務器，因為橋頭服務器必須支持雙向復制。

??? 在林中必須運行一次adprep /rodcprep以更新在林中的所有DNS應用程序目錄分區上的權限

使用Enterprise Admins成員身份登錄主域控制器，將系統安裝盤放進光驅，在命令行下進入光驅的\support\adprep目錄，輸入命令adprep /rodcprep

1.?為RODC創建預安裝計算機賬戶，然后將RODC的安裝及管理權限委派給一個普通域用戶，這樣做簡化了異地RODC的安裝步驟，也避免了以傳統方式創建域控制器時，敏感信息的泄露。

2.?打開【Active Directory 用戶和計算機】，打開【Contoso.com】域，右擊【Domain Controllers】OU，選擇【預創建只讀域控制器賬戶】，如圖2
?

圖2

3.?此時將會調用AD域服務安裝向導，導航至【指定計算機名稱】，輸入只讀域控制器的計算機名【RODC1】，如圖3
?

圖3

4.?在選擇站點頁面，選擇只讀域控制器所在站點【south】，站點要在AD站點與服務里必須在安裝前建立好。如圖4
?

圖4

5.?在其他域控制器選項中，可設置是否安裝DNS和全局編錄，但RODC選項已經默認選中，并不可取消。選中DNS將支持與遠端的RODC的DNS復制更新，如圖5
?

圖5

6.?在RODC安裝和管理委派頁中，可以指定一個普通域用戶作為只讀域控制器的管理員，這里我委派一個名為【RODCadmin】的域用戶來管理只讀域控制器。如圖6
?

圖6

7.?檢查一下配置匯總，沒有問題，既完成了RODC計算機賬戶的創建。

遠端的RODC安裝開始

8.?使用具有域管理員權限的用戶登錄到RODC服務器中，安裝好AD DS角色，運行【DCPROMO】命令，進行域控制器的安裝。

注意：此時的RODC服務器必須處于工作組狀態，與活動目錄無關。

?依次點擊“Start”—“Run”，輸入dcpromo，按Enter；打開dcpromo安裝向導，向導首先檢查是否有安裝AD DS角色，如果沒有，將會自動安裝，如下圖；

2、安裝完AD DS角色后，顯示“Welcome to the Active Directory Domain Services Installation Wizard”對話框，選擇“Use advanced mode installation”，單擊“Next”按鈕；

3、直接單擊“Operating System Compatibility”中的“Next”按鈕；

4、選擇“Existing forest”，選擇“Add a domain controller to an existing domain”,單擊“Next”；

5、在域服務安裝向導網絡憑據中，鍵入當前域名稱【contoso.com】，在備用憑據中指定RODC的管理員用戶【RODCadmin】。如圖7

?

6、選擇RODC所在的域,出現如下“select a domain”對話框，確定2次警告信息

?

?

7、選擇域控制器存放的站點，站點要對應好，按前文設定的South ，直接單擊“Next”；

8、我們需要將這臺子域域控制器同時擔任DNS和GC的角色，所以這里選中“DNS Server”、“Global Catalog”和“Read only domain controller（RODC）”，單擊“Next”；

?

9、顯示如圖所示“Specify the Password Replication Policy”對話框，密碼復制策略決定用戶或計算機憑據是否從可讀寫域控制器復制到RODC，如果允許，憑據將緩存到RODC上，這里我們允許“RODCUsers”組中的用戶緩存到RODC上。

單擊“Add”按鈕，顯示“Add Groups，Users and Computers”對話框，選擇“Allow passwords for the account to replicate to this RODC”，單擊“OK”按鈕，顯示“Select Users，Computers，or Groups”對話框，輸入準備復制到RODC的用戶，單擊“OK”,返回“Specify the Password Replication Policy”對話框，單擊“Next”；

10、顯示“Delegation of RODC Installation and Administration”對話框，設置管理RODC的賬戶，這里我們設置RODCAdmins組成員具備對RODC的管理權限。

單擊“Set”按鈕，顯示“Select Users，Computers，or Groups”對話框，輸入準備設置為管理RODC的組或用戶，單擊“OK”,返回“Delegation of RODC Installation and Administration”對話框，單擊“Next”；

11、顯示“Install from Media”對話框，這里我們選擇“Replicate data over the network from an existing domain controller”，單擊“Next”；（如果從介質安裝，請參考“MCITP必備技能（4）——從介質安裝AD DS”）

12、顯示“Source Domain Controller”對話框，設置緩存賬戶的源域控制器，默認情況下源域控制器是第一臺域控制器，可以由向導自動選擇，也可以手動設置，這里我們選中“Use this specific domain controller”，在下方框中選擇源域控制器，單擊“Next”；

13、設置數據庫、日志和SYSVOL的位置，在生產環境中，出于性能和可恢復性的要求，建議分別放在不同的磁盤或存儲設備中，之后單擊“Next”；

14、設置目錄服務歡迎模式下的administrator密碼（該密碼用戶進行AD DS恢復時使用，如果忘記，還可以通過ntdsutil.exe工具來重置），單擊“Next”；

15、出現“Summary”窗口，顯示AD DS的設置信息，單擊“Next”按鈕，這里也可以先點擊“Export settings…”按鈕將設置信息導出成文本文件，用于以后的無人值守安裝；

?

16、彈出AD DS安裝窗口

17、完成后點擊“Finish”；

18、提示需要重啟電腦，點擊“Restart Now”重啟

19、至此，只讀域控制器（RODC）便部署成功了。

七、驗證RODC

1、 域控制器狀態

使用RODCAdmins成員身份登錄RODC，打開“Active Directory Users and Computers”，查看“Domain Controllers”中，該域控制器的DC Type一欄是否Read-only，如圖

2、 驗證是否能創建對象

在“Active Directory Users and Computers”中右鍵點擊“Users”容器，可以看到并沒有“New”菜單，說明無法創建對象，AD數據庫為只讀。

3、 驗證DNS

打開DNS管理器，依次展開“（服務器名）”—“Forward Lookup Zones”—“（域名）”，在域名上右鍵，點擊“Properties”，查看各更改項按鈕是否顯示為灰色；

4、 “Read-only Domain Controllers”組驗證

在“Active Directory Users and Computers”中，依次選擇域名—“Users”，右鍵點擊“Read-only Domain Controllers”，點擊“Properties”，選擇“Members”頁，查看成員中是否有該域控制器。

?

?

五、RODC的配置

在部署完只讀域控制器后，需要在可讀寫的復制伙伴域控制器配置密碼復制策略，也就是憑證緩存，用來提高使用RODC的用戶的訪問體驗。

密碼復制策略可以被看成是RODC的訪問控制列表，用來控制RODC是否緩存用戶賬戶密碼，緩存誰的密碼，拒絕緩存哪些賬戶的密碼。例如，域管理員可以事先指定RODC允許緩存的用戶賬戶或者計算機賬戶，這樣即使廣州辦的WAN鏈接斷開，RODC也依然可以對這些賬戶進行身份驗證。

在Windows Server 2008的AD域中引入了兩個新的內置組來支持RODC的操作，這兩個組是：【允許RODC密碼復制組】和【拒絕RODC密碼復制組】。默認情況下，允許RODC密碼復制組不包含任何成員，但拒絕RODC密碼復制組則包含下列成員：

"?企業域控制器

"?企業只讀域控制器

"?組策略創建者所有者

"?Domain Admins

"?證書發行者

"?Enterprise Admins

"?Schema Admins

"?域范圍 krbtgt 帳戶

例如，可以在將廣州辦所有的計算機和常用用戶賬戶加入到【允許RODC密碼復制組】中。不過需要注意的是，存在于【拒絕RODC密碼復制組】中的賬戶優先級要高于【允許RODC密碼復制組】中的用戶。

如果關閉RODC或者關機，則刷新RODC上的緩存并且緩存中的對象不再可用，直到RODC反向鏈接到網絡上的全局目錄服務器。

通過RODC的部署，Contoso公司使用Windows Server 2008 R2為廣州辦的提供了穩定，快速，高效的身份驗證機制，同時兼顧了物理安全、網絡安全，降低了服務器管理方面的難度。

管理RODC 1、在AD用戶和計算機管理控制臺中，建立一全局組TESTRODC_G和加入這個組用戶RODCUser 2、在AD用戶和計算機管理控制臺中，選擇Domain Controllers，右擊RODC，選擇屬性，進行如下操作 （將TestRODC_G增加到允許緩存組） 下面的操作用來查看用戶緩存情況 預設用戶緩存操作 查看用戶策略結果： 以下操作在R2RODC上完成 將RODCUSER增加到RODCUSER本地管理員組 關閉r2dc01注銷R2RODC,以RODCUSER登錄

本文出自 “從心開始” 博客，請務必保留此出處http://ycrsjxy.blog.51cto.com/618627/203031

轉載于:https://blog.51cto.com/stcliu/726602

總結

以上是生活随笔為你收集整理的Win2008 R2实战之只读域控制器部署(图)有修改的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。