实验21 Windows RODC只读域控制器部署实例.docx

1、实验21 Windows RODC只读域控制器部署实例实验2-1 Windows 2008 RODC-只读域控制器部署实例Windows 2008 RODC-只读域控制器部署实例一：什么是只读域控制器？只读域控制器有什么好处？只读域控制器 (RODC) 是 WindowsServer2008 操作系统中的一种新类型的域控制器。借助 RODC，组织可以在无法保证物理安全性的位置中轻松部署域控制器。RODC 承载 Active Directory(R) 域服务 (AD DS) 数据库的只读分区。 在 Windows Server2008 发布之前，如果用户必须通过广域网 (WAN) 对域控制器进行

2、身份验证，则没有合适的替代方案。在许多情况下，这不是一个有效的解决方案。分支机构通常不能为可写域控制器提供所需的充分的物理安全性。此外，当分支机构连接到中心站点时，其网络带宽状况通常较差。这可能增加登录所需的时间。它还可能妨碍对网络资源的访问。RODC 有什么作用？物理安全性不足是考虑部署 RODC 的最常见原因。RODC 提供了一种在要求快速、可靠的身份验证服务但不能确保可写域控制器的物理安全性的位置中更安全地部署域控制器的方法。 但是，您的组织也可选择根据特殊管理要求部署 RODC。例如，行业 (LOB) 应用程序只有在安装在域控制器上的情况下，才可以成功运行。或者，域控制器可能是分支机构

3、中唯一的服务器，并且可能必须承载服务器应用程序。在这种情况下，LOB 应用程序的所有者必须经常以交互方式登录到域控制器，或使用终端服务配置和管理应用程序。此情况产生了在可写域控制器上可能无法接受的安全风险。 RODC 为在此方案中部署域控制器提供了更安全的机制。您可以向非管理域用户授予登录到 RODC 的权限，同时最小化 Active Directory 林的安全风险。还可以在其他方案中部署 RODC，例如，Extranet 或面向应用程序的角色中，其中本地存储的所有域用户密码是主要威胁。二：部署前的准备1：确认林功能级别是Windows 2003或以上A：开始-管理工具Active Dire

4、ctory 域和信任关系B：右键单击域，选择属性C：在常规选项卡里查看林功能级别，和域功能级别。确认是windows 2003以上的级别。关于域的功能级别，可以参看我的另一篇文章活动目录之域功能级别详解D：如果功能级别未达到要求，可以选择所在域，单击右键，选择提升域功能级别2：运行 adprep /rodcprep更新林中所有DNS目录分区上的权限，这样才能允许，RODC上的DNS服务器从现有林中的DNS复制A：以Enterprise Admins组成员身份登录到域控制器B：将windows 2008 安装DVD中sourcesadprep文件夹复制到架构主机C：CMD命令下定位到复制过来的a

5、dprep文件夹，输入如下命令，按回车adprep /rodcprepD：命令执行完成之后，会提示结果，并保存有日志。例如：Adprep 已完成，但有错误。已更新所有分区。有关详细信息，请参阅目录 C:Windowsdebugadpreplogs20090421041238 中的 ADPrep.log。可以查看adprep.log文件，如果返回代码为 0x44表示比步骤出错3：运行windows 2008 可写域控制器因为RODC需要从可写的域控复制数据，所以在安装RODC时，林内必须存在一台可写的域控三：部署RDOC只读域控可以安装在完整功能的windows 2008上，也可以安装在Serv

6、er Core版本的Windows 2008上。除在服务器上直接安装外，还可以采用委派安装的方式，该安装由两个阶段组成，分别由不同的人来完成。第一个安装阶段需要域管理管理员权限，并在此阶段在 ADDS 中为 RODC 创建一个帐户。第二个安装阶段将远程位置（如分支机构）中将要成为 RODC 的实际服务器关联到先前为其创建的帐户。然后选择从介质或原域控制器安装RODC 本例采用直接在全功能Windows 2008 上安装RODC1：以Domain Admins 组成员登陆服务器2：运行里输入dcpromo，然后回车，启动AD服务安装向导，注意勾选高级安全模式后，可以在安装过程中配置密码复制策略等配置，建议一般选择普通安装模式3：连续点击两次点击下一步，选择向现有域中添加域控制器4：点击下一步，填入域名称，如果此服务器已经加入到域中，则可选择当前登陆凭据，如未加入域，可以选择备用凭据，输入域账户信息5：点击下一步，选择林根域6：点击下一步，选择站点7：点击下一步，勾选只读域控制器（RODC）8：点击下一步，在管理委派处直接点击下一步9：选择默认数据库等文件安装位置，单击下一步10：填入目录服务还原密码，点击下一步11：核对摘要信息，点击下一步，开始安装RODC安装完成后，重新启动计算机12：重启之后，打开服务器管理，可以看到RODC成功添加，而且会显示为只读