只讀域控制器 (RODC) 是 Windows Server? 2008 操作系統(tǒng)中的一種新類型的域控制器。借助 RODC，組織可以在無(wú)法保證物理安全性的位置中輕松部署域控制器。RODC 承載 Active Directory(R) 域服務(wù) (AD DS) 數(shù)據(jù)庫(kù)的只讀分區(qū)。 在 Windows Server 2008 發(fā)布之前，如果用戶必須通過(guò)廣域網(wǎng) (WAN) 對(duì)域控制器進(jìn)行身份驗(yàn)證，則沒(méi)有合適的替代方案。在許多情況下，這不是一個(gè)有效的解決方案。分支機(jī)構(gòu)通常不能為可寫域控制器提供所需的充分的物理安全性。 此外，當(dāng)分支機(jī)構(gòu)連接到中心站點(diǎn)時(shí)，其網(wǎng)絡(luò)帶寬狀況通常較差。這可能增加登錄所需的時(shí)間。它還可能妨礙對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。 從 Windows Server 2008 開(kāi)始，組織可以部署 RODC 來(lái)解決這些問(wèn)題。因此，用戶在此情況下可以獲得以下好處： ?提高的安全性 ?更快的登錄速度 ?更有效地訪問(wèn)網(wǎng)絡(luò)上的資源 ????? 部署 RODC 的先決條件如下所示： ?RODC 必須將身份驗(yàn)證請(qǐng)求轉(zhuǎn)發(fā)到運(yùn)行 Windows Server 2008 的可寫域控制器。在此域控制器上設(shè)置了密碼復(fù)制策略，以確定是否為從 RODC 轉(zhuǎn)發(fā)的請(qǐng)求將憑據(jù)復(fù)制到分支位置。 ?域功能性的級(jí)別必須是 Windows Server 2003 或更高版本，以便可以使用 Kerberos 受限制的委派。受限制的委派用于必須在調(diào)用方的上下文中模擬的安全調(diào)用。 ?林功能性的級(jí)別必須是 Windows Server 2003 或更高版本，以便可以使用鏈接值復(fù)制。這提供了更高級(jí)別的復(fù)制一致性。 ?在林中必須運(yùn)行一次?adprep /rodcprep?以更新在林中的所有 DNS 應(yīng)用程序目錄分區(qū)上的權(quán)限。以此方式，作為 DNS 服務(wù)器的所有 RODC 都將可以成功復(fù)制權(quán)限。 [以上內(nèi)容轉(zhuǎn)自微軟官網(wǎng)]?AD DS：只讀域控制器 在滿足上面的先決條件后，現(xiàn)在開(kāi)始進(jìn)行只讀域控制器在Server Core中的部署，本實(shí)驗(yàn)的環(huán)境為：單森林單域、1臺(tái)2008域控制器，準(zhǔn)備將Server Core加入到現(xiàn)有環(huán)境中，并且提升為只讀域控制器。 以下大部分操作將在Server Core中進(jìn)行... 登錄安裝好的08 Server Core機(jī)器，首先來(lái)將機(jī)器改個(gè)名字，在命令提示符下輸入“set c”或者“hostname”可以看到目前的計(jì)算機(jī)名稱，然后使用netdom renamecomputer將計(jì)算機(jī)改名，具體見(jiàn)下圖： 更名成功重啟回來(lái)之后，現(xiàn)在要為Server Core配置一下IP地址，配置之前先查看一下本地連接的ID號(hào)，因?yàn)榇魰?huì)修改IP配置會(huì)用到ID號(hào)，在命令提示符下輸入 netsh interface ipv4 show interface，從下圖可以看到本地連接的ID為2。 確認(rèn)ID之后，現(xiàn)在開(kāi)始修改本地連接的IP配置，具體命令見(jiàn)下圖： 添加完IP地址后還需為本地連接配置一下DNS，具體命令見(jiàn)下圖： ? 配置好之后使用ipconfig /all查看一下... 在確認(rèn)IP配置信息無(wú)誤后，執(zhí)行下面命令將Server Core加入現(xiàn)有活動(dòng)目錄域中，具體見(jiàn)下圖： 登錄到現(xiàn)有的08域控制器中使用ADUC查看一下Server Core是否正常加入域...，從下圖的Computers容器中可以看到已經(jīng)加入一臺(tái)名字為rodc的機(jī)器。 待Server Core加域成功重啟之后，登錄進(jìn)去，在命令提示符下面輸入notepad打開(kāi)記事本編輯器，輸入如下圖內(nèi)容創(chuàng)建只讀域控制器的應(yīng)答安裝文件，然后保存為unattend.txt。 應(yīng)答文件創(chuàng)建好之后，現(xiàn)在就可以開(kāi)始將Server Core提升成只讀域控制器了，在命令行提示符下輸入 dcpromo /unattend:"c:\unattend.txt" 后會(huì)開(kāi)啟提升過(guò)程，根據(jù)應(yīng)答文件中的內(nèi)容，提升成功后會(huì)自動(dòng)重啟計(jì)算機(jī)，見(jiàn)下圖： 回到第一臺(tái)2008域控制器上打開(kāi)ADUC查看一下結(jié)果，從下圖Domain Controllers容器中可以看到已經(jīng)增加了一個(gè)計(jì)算機(jī)名稱為rodc的域控制器，并且它的DC類型為：只讀，DC 。 經(jīng)過(guò)上面的操作后，只讀域控制器在Server Core中的部署已經(jīng)完成，如果我們想將AD帳戶的密碼復(fù)制到RODC，可以在ADUC中打開(kāi)RODC的屬性，切換到“密碼復(fù)制策略”選項(xiàng)卡中進(jìn)行添加操作，見(jiàn)下圖：
















本文轉(zhuǎn)自葉俊堅(jiān)51CTO博客，原文鏈接：http://blog.51cto.com/yejunjian/144716 ，如需轉(zhuǎn)載請(qǐng)自行聯(lián)系原作者

總結(jié)

以上是生活随笔為你收集整理的只读域控制器在Server Core中的部署的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。