实验21 Windows RODC只读域控制器部署实例.docx
《实验21 Windows RODC只读域控制器部署实例.docx》由会员分享,可在线阅读,更多相关《实验21 Windows RODC只读域控制器部署实例.docx(10页珍藏版)》请在冰豆网上搜索。
实验21WindowsRODC只读域控制器部署实例
实验2-1Windows2008RODC-只读域控制器部署实例
Windows2008RODC-只读域控制器部署实例
一:
什么是只读域控制器?
只读域控制器有什么好处?
只读域控制器(RODC)是Windows Server® 2008操作系统中的一种新类型的域控制器。
借助RODC,组织可以在无法保证物理安全性的位置中轻松部署域控制器。
RODC承载ActiveDirectory(R)域服务(ADDS)数据库的只读分区。
在WindowsServer 2008发布之前,如果用户必须通过广域网(WAN)对域控制器进行身份验证,则没有合适的替代方案。
在许多情况下,这不是一个有效的解决方案。
分支机构通常不能为可写域控制器提供所需的充分的物理安全性。
此外,当分支机构连接到中心站点时,其网络带宽状况通常较差。
这可能增加登录所需的时间。
它还可能妨碍对网络资源的访问。
RODC有什么作用?
物理安全性不足是考虑部署RODC的最常见原因。
RODC提供了一种在要求快速、可靠的身份验证服务但不能确保可写域控制器的物理安全性的位置中更安全地部署域控制器的方法。
但是,您的组织也可选择根据特殊管理要求部署RODC。
例如,行业(LOB)应用程序只有在安装在域控制器上的情况下,才可以成功运行。
或者,域控制器可能是分支机构中唯一的服务器,并且可能必须承载服务器应用程序。
在这种情况下,LOB应用程序的所有者必须经常以交互方式登录到域控制器,或使用终端服务配置和管理应用程序。
此情况产生了在可写域控制器上可能无法接受的安全风险。
RODC为在此方案中部署域控制器提供了更安全的机制。
您可以向非管理域用户授予登录到RODC的权限,同时最小化ActiveDirectory林的安全风险。
还可以在其他方案中部署RODC,例如,Extranet或面向应用程序的角色中,其中本地存储的所有域用户密码是主要威胁。
二:
部署前的准备
1:
确认林功能级别是Windows2003或以上
A:
开始--管理工具—ActiveDirectory域和信任关系
B:
右键单击域,选择属性
C:
在常规选项卡里查看林功能级别,和域功能级别。
确认是windows2003以上的级别。
关于域的功能级别,可以参看我的另一篇文章《活动目录之域功能级别详解》
D:
如果功能级别未达到要求,可以选择所在域,单击右键,选择提升域功能级别
2:
运行adprep/rodcprep更新林中所有DNS目录分区上的权限,这样才能允许,RODC上的DNS服务器从现有林中的DNS复制
A:
以EnterpriseAdmins组成员身份登录到域控制器
B:
将windows2008安装DVD中\sources\adprep文件夹复制到架构主机
C:
CMD命令下定位到复制过来的adprep文件夹,输入如下命令,按回车
adprep/rodcprep
D:
命令执行完成之后,会提示结果,并保存有日志。
例如:
Adprep已完成,但有错误。
已更新所有分区。
有关详细信息,请参阅目录C:
\Windows\debug\adprep\logs\20090421041238中的ADPrep.log。
可以查看adprep.log文件,如果返回代码为0x44表示比步骤出错
3:
运行windows2008可写域控制器
因为RODC需要从可写的域控复制数据,所以在安装RODC时,林内必须存在一台可写的域控
三:
部署RDOC
只读域控可以安装在完整功能的windows2008上,也可以安装在ServerCore版本的Windows2008上。
除在服务器上直接安装外,还可以采用委派安装的方式,该安装由两个阶段组成,分别由不同的人来完成。
第一个安装阶段需要域管理管理员权限,并在此阶段在AD DS中为RODC创建一个帐户。
第二个安装阶段将远程位置(如分支机构)中将要成为RODC的实际服务器关联到先前为其创建的帐户。
然后选择从介质或原域控制器安装RODC本例采用直接在全功能Windows2008上安装RODC
1:
以DomainAdmins组成员登陆服务器
2:
运行里输入dcpromo,然后回车,启动AD服务安装向导,注意勾选高级安全模式后,可以在安装过程中配置密码复制策略等配置,建议一般选择普通安装模式
3:
连续点击两次点击下一步,选择向现有域中添加域控制器
4:
点击下一步,填入域名称,如果此服务器已经加入到域中,则可选择当前登陆凭据,如未加入域,可以选择备用凭据,输入域账户信息
5:
点击下一步,选择林根域
6:
点击下一步,选择站点
7:
点击下一步,勾选只读域控制器(RODC)
8:
点击下一步,在管理委派处直接点击下一步
9:
选择默认数据库等文件安装位置,单击下一步
10:
填入目录服务还原密码,点击下一步
11:
核对摘要信息,点击下一步,开始安装RODC
安装完成后,重新启动计算机
12:
重启之后,打开服务器管理,可以看到RODC成功添加,而且会显示为只读