13_部署只读域控制器(RODC).doc

部署只读域控制器（RODC）一、 简介只读域控制器是Windows Server 2008系统中的一种新类型的域控制器，借助RODC，企业可以在物理安全性无法得到保障的地方部署域控制器。在RODC上保存了一份AD DS的只读分区。RODC主要设计用于部署在远程或分支机构环境中。二、 RODC的作用RODC提供了一种在要求快速、可靠的身份验证服务但不能确保可写域控制器物理安全性的位置更安全地部署域控制器的方法；某些应用程序只能安装在域控制器上，应用程序使用者经常需要以交互方式登录到域控制器对应用程序进行配置和管理，这会增加域控制器的安全风险，而部署RODC，就可以增加这方面的安全性。三、 注意事项RODC不能担任操作主机角色，也不能作为复制拓扑中的桥头堡服务器；可以在Windows Server 2008 Server Core上部署RODC以提高安全性；如果要部署RODC，在域中至少要有一台运行Windows Server 2008的可写域控制器；如果要部署RODC，域功能级别和林功能级别都必须是Windows Server 2003或更高版本；四、 RODC提供的新特性只读AD DS数据库RODC上保存了可写域控制器上除帐号密码外的所有对象和属性的只读副本，所有对AD DS数据库的更改都只能在可写域控制器上进行，然后再复制给RODC;需要对目录进行读取的应用程序可以获取访问权限。请求写入访问的轻型目录应用程序协议（LDAP）应用程序将接收LDAP引用响应，该响应将其定向到可写域控制器。单向复制因为任何AD数据库的更改都不会写入RODC，所以可写域控制器就不需要从RODC上复制任何信息。RODC只执行正常的入站复制。凭据缓存默认情况下，RODC上除了RODC的计算机帐户和特殊账户krbtgt之外，不存储用户或计算机凭据。但可以设置密码复制策略将部分用户凭据和计算机凭据从可写域控制器复制到RODC并在RODC上缓存起来，从而直接服务登录请求。管理员角色分隔可以将RODC的本地管理权限委派给其他域用户，以分担域管理员的工作。只读DNS可以在RODC上安装DNS，响应名称解析的请求，但该DNS也是只读的。五、 部署RODC的准备工作1、 域功能级别必须是Windows Server 2003或更高版本，以便可以使用kerberos受限制的委派；2、 林功能级别必须是Windows Server 2003或更高版本，以便可以使用链接值复制，这提供了更高级别的复制一致性；3、 域中必须确保至少有一台Windows Server 2008可写域控制器，以便RODC可从该域控制器上复制域分区数据；4、 在林中必须运行一次adprep /rodcprep以更新在林中的所有DNS应用程序目录分区上的权限，。以此方式，作为DNS服务器的所有RODC都将可以成功复制权限；1） 使用Enterprise Admins成员身份登录主域控制器，将系统安装盘放进光驱，在命令行下进入光驱的supportadprep目录，输入命令adprep /rodcprep六、 部署RODC1、依次点击“Start”“Run”，输入dcpromo，按Enter；打开dcpromo安装向导，向导首先检查是否有安装AD DS角色，如果没有，将会自动安装，如下图；2、安装完AD DS角色后，显示“Welcome to the Active Directory Domain Services Installation Wizard”对话框，选择“Use advanced mode installation”，单击“Next”按钮；3、直接单击“Operating System Compatibility”中的“Next”按钮；4、选择“Existing forest”，选择“Add a domain controller to an existing domain”,单击“Next”；5、设置林根域的FQDN,并单击set按钮设置网络凭据，这里的网络凭据需要是企业管理员身份，完成后单击“Next”；6、出现如下“select a domain”对话框，选择RODC所在的域；7、选择域控制器存放的站点，因为这里只有一个默认的站点，直接单击“Next”；8、我们需要将这台子域域控制器同时担任DNS和GC的角色，所以这里选中“DNS Server”、“Global Catalog”和“Read only domain controller（RODC）”，单击“Next”；9、显示如图所示“Specify the Password Replication Policy”对话框，密码复制策略决定用户或计算机凭据是否从可读写域控制器复制到RODC，如果允许，凭据将缓存到RODC上，这里我们允许“RODCUsers”组中的用户缓存到RODC上。单击“Add”按钮，显示“Add Groups，Users and Computers”对话框，选择“Allow passwords for the account to replicate to this RODC”，单击“OK”按钮，显示“Select Users，Computers，or Groups”对话框，输入准备复制到RODC的用户，单击“OK”,返回“Specify the Password Replication Policy”对话框，单击“Next”；10、显示“Delegation of RODC Installation and Administration”对话框，设置管理RODC的账户，这里我们设置RODCAdmins组成员具备对RODC的管理权限。单击“Set”按钮，显示“Select Users，Computers，or Groups”对话框，输入准备设置为管理RODC的组或用户，单击“OK”,返回“Delegation of RODC Installation and Administration”对话框，单击“Next”；11、显示“Install from Media”对话框，这里我们选择“Replicate data over the network from an existing domain controller”，单击“Next”；（如果从介质安装，请参考“MCITP必备技能（4）从介质安装AD DS”）12、显示“Source Domain Controller”对话框，设置缓存账户的源域控制器，默认情况下源域控制器是第一台域控制器，可以由向导自动选择，也可以手动设置，这里我们选中“Use this specific domain controller”，在下方框中选择源域控制器，单击“Next”；13、设置数据库、日志和SYSVOL的位置，在生产环境中，出于性能和可恢复性的要求，建议分别放在不同的磁盘或存储设备中，之后单击“Next”；14、设置目录服务欢迎模式下的administrator密码（该密码用户进行AD DS恢复时使用，如果忘记，还可以通过ntdsutil.exe工具来重置），单击“Next”；15、出现“Summary”窗口，显示AD DS的设置信息，单击“Next”按钮，这里也可以先点击“Export settings”按钮将设置信息导出成文本文件，用于以后的无人值守安装；16、弹出AD DS安装窗口17、完成后点击“Finish”；18、提示需要重启电脑，点击“Restart Now”重启19、至此，只读域控制器（RODC）便部署成功了。七、 验证RODC1、 域控制器状态使用RODCAdmins成员身份登录RODC，打开“Active Directory Users and Computers”，查看“Domain Controllers”中，该域控制器的DC Type一栏是否Read-only，如图2、 验证是否能创建对象在“Active Directory Users and Computers”中右键点击“Users”容器，可以看到并没有“New”菜单，说明无法创建对象，AD数据库为只读。3、 验证DNS打开DNS管理器，依次展开“（服务器名）”“Forward Lookup Zones”“（域名）”，在域名上右键，点击“Properties”，查看