Win2008 R2实战之只读域控制器部署(图)有修改

Win2008 R2实战之只读域控制器部署(图)

      近日，Contoso公司在广州又设立了一个分支办公室，拥有大约40名工做人员，但为了节省运营成本，只申请了一条2M的ADSL进行互联网应用和与总部数据通讯。因为广州办广域网链路速度慢、不可靠，并且没有专业的IT技术人员进行维护，服务器的物理安全也得不到保障，可是这40人每日的都与总部的域控制器进行身份验证和Internet访问查询的话，工做效率必将大大折扣。因而，通过IT部门讨论，他们决定在广州办部署Windows Server 2008 R2做为只读域控制器来简化IT技术人员的工做，提升广州办的办公效率，同时也能够提升广州办网络环境的的安全性。

1、 什么是只读域控制器（Read-Only Domain Controller）

RODC是Windows Server 2008 新引入的一个活动目录特性，与其余域控制器同样，RODC也包含AD数据库，但除了本地管理员和RODC帐户，RODC默认不保存域用户帐户密码，而且RODC中包含的数据库也是只读的。RODC只能单向的从其余可读写域控制器请求信息，而不会把任何修改传送给其余可写域控制器，这样作不只能够下降桥头服务器的工做负载及监控负载的工做量，还能够提升分支机构网络的安全性，同时便于管理。

2、 RODC在Contoso公司应用的好处

只读活动目录服务能够下降因物理安全因素带来的网络安全威胁。

下降了网络之间复制的负载。

缓存凭证能够加速分支用户使用域服务的速度，下降了系统在遭到破坏时暴露的用户信息的数量。

独立并有限的管理权限，可下降分支机构管理员权限过大对活动目录的威胁。

只读DNS能够加快分支机构访问Internet的响应时间，但不会作动态更新，若是分支机构向要更新记录信息，RODC会向可读写域控制器的DNS发送一个DNS复制单个对象的改动请求，可读写的DNS响应这个请求后，会把改动经过单向复制传回RODC。

3、 部署RODC的先决条件

1. 森林功能级别须要是Windows 2003或以上级别。

2. 域内须要至少一个Windows 2008域控制器，做为RODC的复制伙伴。

3. PDC角色必须容许在Windows 2008上。

4. 活动目录内须要存在正常可读写的域控制器。

4、 部署RODC

环境拓扑：如图1
 

图1

注意：因为RODC的只读特性带来的限制，RODC不能做为桥头服务器，由于桥头服务器必须支持双向复制。

    在林中必须运行一次adprep /rodcprep以更新在林中的全部DNS应用程序目录分区上的权限

使用Enterprise Admins成员身份登陆主域控制器，将系统安装盘放进光驱，在命令行下进入光驱的\support\adprep目录，输入命令adprep /rodcprep

1. 为RODC建立预安装计算机帐户，而后将RODC的安装及管理权限委派给一个普通域用户，这样作简化了异地RODC的安装步骤，也避免了以传统方式建立域控制器时，敏感信息的泄露。

2. 打开【Active Directory 用户和计算机】，打开【Contoso.com】域，右击【Domain Controllers】OU，选择【预建立只读域控制器帐户】，如图2
 

图2

3. 此时将会调用AD域服务安装向导，导航至【指定计算机名称】，输入只读域控制器的计算机名【RODC1】，如图3
 

图3

4. 在选择站点页面，选择只读域控制器所在站点【south】，站点要在AD站点与服务里必须在安装前创建好。如图4
 

图4

5. 在其余域控制器选项中，可设置是否安装DNS和全局编录，但RODC选项已经默认选中，并不可取消。选中DNS将支持与远端的RODC的DNS复制更新，如图5
 

图5

6. 在RODC安装和管理委派页中，能够指定一个普通域用户做为只读域控制器的管理员，这里我委派一个名为【RODCadmin】的域用户来管理只读域控制器。如图6
 

图6

7. 检查一下配置汇总，没有问题，既完成了RODC计算机帐户的建立。

远端的RODC安装开始

8. 使用具备域管理员权限的用户登陆到RODC服务器中，安装好AD DS角色，运行【DCPROMO】命令，进行域控制器的安装。

注意：此时的RODC服务器必须处于工做组状态，与活动目录无关。

 依次点击“Start”—“Run”，输入dcpromo，按Enter；打开dcpromo安装向导，向导首先检查是否有安装AD DS角色，若是没有，将会自动安装，以下图；

二、安装完AD DS角色后，显示“Welcome to the Active Directory Domain Services Installation Wizard”对话框，选择“Use advanced mode installation”，单击“Next”按钮；

三、直接单击“Operating System Compatibility”中的“Next”按钮；

四、选择“Existing forest”，选择“Add a domain controller to an existing domain”,单击“Next”；

五、在域服务安装向导网络凭据中，键入当前域名称【contoso.com】，在备用凭据中指定RODC的管理员用户【RODCadmin】。如图7

 

六、选择RODC所在的域,出现以下“select a domain”对话框，肯定2次警告信息

 

 

七、选择域控制器存放的站点，站点要对应好，按前文设定的South ，直接单击“Next”；

八、咱们须要将这台子域域控制器同时担任DNS和GC的角色，因此这里选中“DNS Server”、“Global Catalog”和“Read only domain controller（RODC）”，单击“Next”；

 

九、显示如图所示“Specify the Password Replication Policy”对话框，密码复制策略决定用户或计算机凭据是否从可读写域控制器复制到RODC，若是容许，凭据将缓存到RODC上，这里咱们容许“RODCUsers”组中的用户缓存到RODC上。

单击“Add”按钮，显示“Add Groups，Users and Computers”对话框，选择“Allow passwords for the account to replicate to this RODC”，单击“OK”按钮，显示“Select Users，Computers，or Groups”对话框，输入准备复制到RODC的用户，单击“OK”,返回“Specify the Password Replication Policy”对话框，单击“Next”；

十、显示“Delegation of RODC Installation and Administration”对话框，设置管理RODC的帐户，这里咱们设置RODCAdmins组成员具有对RODC的管理权限。

单击“Set”按钮，显示“Select Users，Computers，or Groups”对话框，输入准备设置为管理RODC的组或用户，单击“OK”,返回“Delegation of RODC Installation and Administration”对话框，单击“Next”；

十一、显示“Install from Media”对话框，这里咱们选择“Replicate data over the network from an existing domain controller”，单击“Next”；（若是从介质安装，请参考“MCITP必备技能（4）——从介质安装AD DS”）

十二、显示“Source Domain Controller”对话框，设置缓存帐户的源域控制器，默认状况下源域控制器是第一台域控制器，能够由向导自动选择，也能够手动设置，这里咱们选中“Use this specific domain controller”，在下方框中选择源域控制器，单击“Next”；

1三、设置数据库、日志和SYSVOL的位置，在生产环境中，出于性能和可恢复性的要求，建议分别放在不一样的磁盘或存储设备中，以后单击“Next”；

1四、设置目录服务欢迎模式下的administrator密码（该密码用户进行AD DS恢复时使用，若是忘记，还能够经过ntdsutil.exe工具来重置），单击“Next”；

1五、出现“Summary”窗口，显示AD DS的设置信息，单击“Next”按钮，这里也能够先点击“Export settings…”按钮将设置信息导出成文本文件，用于之后的无人值守安装；

 

1六、弹出AD DS安装窗口

1七、完成后点击“Finish”；

1八、提示须要重启电脑，点击“Restart Now”重启

1九、至此，只读域控制器（RODC）便部署成功了。

7、验证RODC

一、 域控制器状态

使用RODCAdmins成员身份登陆RODC，打开“Active Directory Users and Computers”，查看“Domain Controllers”中，该域控制器的DC Type一栏是否Read-only，如图

二、 验证是否能建立对象

在“Active Directory Users and Computers”中右键点击“Users”容器，能够看到并无“New”菜单，说明没法建立对象，AD数据库为只读。

三、 验证DNS

打开DNS管理器，依次展开“（服务器名）”—“Forward Lookup Zones”—“（域名）”，在域名上右键，点击“Properties”，查看各更改项按钮是否显示为灰色；

四、 “Read-only Domain Controllers”组验证

在“Active Directory Users and Computers”中，依次选择域名—“Users”，右键点击“Read-only Domain Controllers”，点击“Properties”，选择“Members”页，查当作员中是否有该域控制器。

 

 

5、RODC的配置

在部署完只读域控制器后，须要在可读写的复制伙伴域控制器配置密码复制策略，也就是凭证缓存，用来提升使用RODC的用户的访问体验。

密码复制策略能够被当作是RODC的访问控制列表，用来控制RODC是否缓存用户帐户密码，缓存谁的密码，拒绝缓存哪些帐户的密码。例如，域管理员能够事先指定RODC容许缓存的用户帐户或者计算机帐户，这样即便广州办的WAN连接断开，RODC也依然能够对这些帐户进行身份验证。

在Windows Server 2008的AD域中引入了两个新的内置组来支持RODC的操做，这两个组是：【容许RODC密码复制组】和【拒绝RODC密码复制组】。默认状况下，容许RODC密码复制组不包含任何成员，但拒绝RODC密码复制组则包含下列成员：

" 企业域控制器

" 企业只读域控制器

" 组策略建立者全部者

" Domain Admins

" 证书发行者

" Enterprise Admins

" Schema Admins

" 域范围 krbtgt 账户

例如，能够在将广州办全部的计算机和经常使用用户帐户加入到【容许RODC密码复制组】中。不过须要注意的是，存在于【拒绝RODC密码复制组】中的帐户优先级要高于【容许RODC密码复制组】中的用户。

若是关闭RODC或者关机，则刷新RODC上的缓存而且缓存中的对象再也不可用，直到RODC反向连接到网络上的全局目录服务器。

经过RODC的部署，Contoso公司使用Windows Server 2008 R2为广州办的提供了稳定，快速，高效的身份验证机制，同时兼顾了物理安全、网络安全，下降了服务器管理方面的难度。

管理RODC

一、在AD用户和计算机管理控制台中，创建一全局组TESTRODC_G和加入这个组用户RODCUser

二、在AD用户和计算机管理控制台中，选择Domain Controllers，右击RODC，选择属性，进行以下操做

（将TestRODC_G增长到容许缓存组）

 

 

下面的操做用来查看用户缓存状况

预设用户缓存操做

查看用户策略结果：

如下操做在R2RODC上完成

将RODCUSER增长到RODCUSER本地管理员组

 

 

关闭r2dc01注销R2RODC,以RODCUSER登陆

 

本文出自 “从心开始” 博客，请务必保留此出处http://ycrsjxy.blog.51cto.com/618627/203031