13部署只读域控制器RODCWord文档格式.docx

13部署只读域控制器RODCWord文档格式.docx

《13部署只读域控制器RODCWord文档格式.docx》由会员分享，可在线阅读，更多相关《13部署只读域控制器RODCWord文档格式.docx（18页珍藏版）》请在冰豆网上搜索。

二、RODC的作用

RODC提供了一种在要求快速、可靠的身份验证服务但不能确保可写域控制器物理安全性的位置更安全地部署域控制器的方法；

某些应用程序只能安装在域控制器上，应用程序使用者经常需要以交互方式登录到域控制器对应用程序进行配置和管理，这会增加域控制器的安全风险，而部署RODC，就可以增加这方面的安全性。

三、注意事项

RODC不能担任操作主机角色，也不能作为复制拓扑中的桥头堡服务器；

可以在WindowsServer2008ServerCore上部署RODC以提高安全性；

如果要部署RODC，在域中至少要有一台运行WindowsServer2008的可写域控制器；

如果要部署RODC，域功能级别和林功能级别都必须是WindowsServer2003或更高版本；

四、RODC提供的新特性

只读ADDS数据库

RODC上保存了可写域控制器上除帐号密码外的所有对象和属性的只读副本，所有对ADDS数据库的更改都只能在可写域控制器上进行，然后再复制给RODC;

需要对目录进行读取的应用程序可以获取访问权限。

请求写入访问的轻型目录应用程序协议（LDAP）应用程序将接收LDAP引用响应，该响应将其定向到可写域控制器。

单向复制

因为任何AD数据库的更改都不会写入RODC，所以可写域控制器就不需要从RODC上复制任何信息。

RODC只执行正常的入站复制。

凭据缓存

默认情况下，RODC上除了RODC的计算机帐户和特殊账户krbtgt之外，不存储用户或计算机凭据。

但可以设置密码复制策略将部分用户凭据和计算机凭据从可写域控制器复制到RODC并在RODC上缓存起来，从而直接服务登录请求。

管理员角色分隔

可以将RODC的本地管理权限委派给其他域用户，以分担域管理员的工作。

只读DNS

可以在RODC上安装DNS，响应名称解析的请求，但该DNS也是只读的。

五、部署RODC的准备工作

1、域功能级别必须是WindowsServer2003或更高版本，以便可以使用kerberos受限制的委派；

2、林功能级别必须是WindowsServer2003或更高版本，以便可以使用链接值复制，这提供了更高级别的复制一致性；

3、域中必须确保至少有一台WindowsServer2008可写域控制器，以便RODC可从该域控制器上复制域分区数据；

4、在林中必须运行一次adprep/rodcprep以更新在林中的所有DNS应用程序目录分区上的权限，。

以此方式，作为DNS服务器的所有RODC都将可以成功复制权限；

1）使用EnterpriseAdmins成员身份登录主域控制器，将系统安装盘放进光驱，在命令行下进入光驱的\support\adprep目录，输入命令adprep/rodcprep

六、部署RODC

1、依次点击“Start”—“Run”，输入dcpromo，按Enter；

打开dcpromo安装向导，向导首先检查是否有安装ADDS角色，如果没有，将会自动安装，如下图；

2、安装完ADDS角色后，显示“WelcometotheActiveDirectoryDomainServicesInstallationWizard”对话框，选择“Useadvancedmodeinstallation”，单击“Next”按钮；

3、直接单击“OperatingSystemCompatibility”中的“Next”按钮；

4、选择“Existingforest”，选择“Addadomaincontrollertoanexistingdomain”,单击“Next”；

5、设置林根域的FQDN,并单击set按钮设置网络凭据，这里的网络凭据需要是企业管理员身份，完成后单击“Next”；

6、出现如下“selectadomain”对话框，选择RODC所在的域；

7、选择域控制器存放的站点，因为这里只有一个默认的站点，直接单击“Next”；

8、我们需要将这台子域域控制器同时担任DNS和GC的角色，所以这里选中“DNSServer”、“GlobalCatalog”和“Readonlydomaincontroller（RODC）”，单击“Next”；

9、显示如图所示“SpecifythePasswordReplicationPolicy”对话框，密码复制策略决定用户或计算机凭据是否从可读写域控制器复制到RODC，如果允许，凭据将缓存到RODC上，这里我们允许“RODCUsers”组中的用户缓存到RODC上。

单击“Add”按钮，显示“AddGroups，UsersandComputers”对话框，选择“AllowpasswordsfortheaccounttoreplicatetothisRODC”，单击“OK”按钮，显示“SelectUsers，Computers，orGroups”对话框，输入准备复制到RODC的用户，单击“OK”,返回“SpecifythePasswordReplicationPolicy”对话框，单击“Next”；

10、显示“DelegationofRODCInstallationandAdministration”对话框，设置管理RODC的账户，这里我们设置RODCAdmins组成员具备对RODC的管理权限。

单击“Set”按钮，显示“SelectUsers，Computers，orGroups”对话框，输入准备设置为管理RODC的组或用户，单击“OK”,返回“DelegationofRODCInstallationandAdministration”对话框，单击“Next”；

11、显示“InstallfromMedia”对话框，这里我们选择“Replicatedataoverthenetworkfromanexistingdomaincontroller”，单击“Next”；

（如果从介质安装，请参考“MCITP必备技能（4）——从介质安装ADDS”）

12、显示“SourceDomainController”对话框，设置缓存账户的源域控制器，默认情况下源域控制器是第一台域控制器，可以由向导自动选择，也可以手动设置，这里我们选中“Usethisspecificdomaincontroller”，在下方框中选择源域控制器，单击“Next”；

13、设置数据库、日志和SYSVOL的位置，在生产环境中，出于性能和可恢复性的要求，建议分别放在不同的磁盘或存储设备中，之后单击“Next”；

14、设置目录服务欢迎模式下的administrator密码（该密码用户进行ADDS恢复时使用，如果忘记，还可以通过ntdsutil.exe工具来重置），单击“Next”；

15、出现“Summary”窗口，显示ADDS的设置信息，单击“Next”按钮，这里也可以先点击“Exportsettings…”按钮将设置信息导出成文本文件，用于以后的无人值守安装；

16、弹出ADDS安装窗口

17、完成后点击“Finish”；

18、提示需要重启电脑，点击“RestartNow”重启

19、至此，只读域控制器（RODC）便部署成功了。

七、验证RODC

1、域控制器状态

使用RODCAdmins成员身份登录RODC，打开“ActiveDirectoryUsersandComputers”，查看“DomainControllers”中，该域控制器的DCType一栏是否Read-only，如图

2、验证是否能创建对象

在“ActiveDirectoryUsersandComputers”中右键点击“Users”容器，可以看到并没有“New”菜单，说明无法创建对象，AD数据库为只读。

3、验证DNS

打开DNS管理器，依次展开“（服务器名）”—“ForwardLookupZones”—“（域名）”，在域名上右键，点击“Properties”，查看各更改项按钮是否显示为灰色；

4、“Read-onlyDomainControllers”组验证

在“ActiveDirectoryUsersandComputers”中，依次选择域名—“Users”，右键点击“Read-onlyDomainControllers”，点击“Properties”，选择“Members”页，查看成员中是否有该域控制器。