Win2008 R2實(shí)戰(zhàn)之只讀域控制器部署(圖)

????? 近日，Contoso公司在廣州又設(shè)立了一個(gè)分支辦公室，擁有大約40名工作人員，但為了節(jié)省運(yùn)營(yíng)成本，只申請(qǐng)了一條2M的ADSL進(jìn)行互聯(lián)網(wǎng)應(yīng)用和與總部數(shù)據(jù)通信。由于廣州辦廣域網(wǎng)鏈路速度慢、不可靠，而且沒有專業(yè)的IT技術(shù)人員進(jìn)行維護(hù)，服務(wù)器的物理安全也得不到保障，但是這40人每日的都與總部的域控制器進(jìn)行身份驗(yàn)證和Internet訪問查詢的話，工作效率必將大大折扣。于是，經(jīng)過IT部門討論，他們決定在廣州辦部署Windows Server 2008 R2作為只讀域控制器來簡(jiǎn)化IT技術(shù)人員的工作，提高廣州辦的辦公效率，同時(shí)也可以提高廣州辦網(wǎng)絡(luò)環(huán)境的的安全性。

一、?什么是只讀域控制器（Read-Only Domain Controller）

RODC是Windows Server 2008 新引入的一個(gè)活動(dòng)目錄特性，與其他域控制器一樣，RODC也包含AD數(shù)據(jù)庫(kù)，但除了本地管理員和RODC賬戶，RODC默認(rèn)不保存域用戶賬戶密碼，并且RODC中包含的數(shù)據(jù)庫(kù)也是只讀的。RODC只能單向的從其他可讀寫域控制器請(qǐng)求信息，而不會(huì)把任何修改傳送給其他可寫域控制器，這樣做不僅可以降低橋頭服務(wù)器的工作負(fù)載及監(jiān)控負(fù)載的工作量，還可以提高分支機(jī)構(gòu)網(wǎng)絡(luò)的安全性，同時(shí)便于管理。

二、?RODC在Contoso公司應(yīng)用的好處

只讀活動(dòng)目錄服務(wù)可以降低因物理安全因素帶來的網(wǎng)絡(luò)安全威脅。

降低了網(wǎng)絡(luò)之間復(fù)制的負(fù)載。

緩存憑證可以加速分支用戶使用域服務(wù)的速度，降低了系統(tǒng)在遭到破壞時(shí)暴露的用戶信息的數(shù)量。

獨(dú)立并有限的管理權(quán)限，可降低分支機(jī)構(gòu)管理員權(quán)限過大對(duì)活動(dòng)目錄的威脅。

只讀DNS可以加快分支機(jī)構(gòu)訪問Internet的響應(yīng)時(shí)間，但不會(huì)做動(dòng)態(tài)更新，如果分支機(jī)構(gòu)向要更新記錄信息，RODC會(huì)向可讀寫域控制器的DNS發(fā)送一個(gè)DNS復(fù)制單個(gè)對(duì)象的改動(dòng)請(qǐng)求，可讀寫的DNS響應(yīng)這個(gè)請(qǐng)求后，會(huì)把改動(dòng)通過單向復(fù)制傳回RODC。

三、?部署RODC的先決條件

1.?森林功能級(jí)別需要是Windows 2003或以上級(jí)別。

2.?域內(nèi)需要至少一個(gè)Windows 2008域控制器，作為RODC的復(fù)制伙伴。

3.?PDC角色必須允許在Windows 2008上。

4.?活動(dòng)目錄內(nèi)需要存在正?？勺x寫的域控制器。

四、?部署RODC

環(huán)境拓?fù)?#xff1a;如圖1
?

圖1

注意：由于RODC的只讀特性帶來的限制，RODC不能作為橋頭服務(wù)器，因?yàn)闃蝾^服務(wù)器必須支持雙向復(fù)制。

??? 在林中必須運(yùn)行一次adprep /rodcprep以更新在林中的所有DNS應(yīng)用程序目錄分區(qū)上的權(quán)限

使用Enterprise Admins成員身份登錄主域控制器，將系統(tǒng)安裝盤放進(jìn)光驅(qū)，在命令行下進(jìn)入光驅(qū)的\support\adprep目錄，輸入命令adprep /rodcprep

1.?為RODC創(chuàng)建預(yù)安裝計(jì)算機(jī)賬戶，然后將RODC的安裝及管理權(quán)限委派給一個(gè)普通域用戶，這樣做簡(jiǎn)化了異地RODC的安裝步驟，也避免了以傳統(tǒng)方式創(chuàng)建域控制器時(shí)，敏感信息的泄露。

2.?打開【Active Directory 用戶和計(jì)算機(jī)】，打開【Contoso.com】域，右擊【Domain Controllers】OU，選擇【預(yù)創(chuàng)建只讀域控制器賬戶】，如圖2
?

圖2

3.?此時(shí)將會(huì)調(diào)用AD域服務(wù)安裝向?qū)?#xff0c;導(dǎo)航至【指定計(jì)算機(jī)名稱】，輸入只讀域控制器的計(jì)算機(jī)名【RODC1】，如圖3
?

圖3

4.?在選擇站點(diǎn)頁面，選擇只讀域控制器所在站點(diǎn)【south】，站點(diǎn)要在AD站點(diǎn)與服務(wù)里必須在安裝前建立好。如圖4
?

圖4

5.?在其他域控制器選項(xiàng)中，可設(shè)置是否安裝DNS和全局編錄，但RODC選項(xiàng)已經(jīng)默認(rèn)選中，并不可取消。選中DNS將支持與遠(yuǎn)端的RODC的DNS復(fù)制更新，如圖5
?

圖5

6.?在RODC安裝和管理委派頁中，可以指定一個(gè)普通域用戶作為只讀域控制器的管理員，這里我委派一個(gè)名為【RODCadmin】的域用戶來管理只讀域控制器。如圖6
?

圖6

7.?檢查一下配置匯總，沒有問題，既完成了RODC計(jì)算機(jī)賬戶的創(chuàng)建。

遠(yuǎn)端的RODC安裝開始

8.?使用具有域管理員權(quán)限的用戶登錄到RODC服務(wù)器中，安裝好AD DS角色，運(yùn)行【DCPROMO】命令，進(jìn)行域控制器的安裝。

注意：此時(shí)的RODC服務(wù)器必須處于工作組狀態(tài)，與活動(dòng)目錄無關(guān)。

?依次點(diǎn)擊“Start”—“Run”，輸入dcpromo，按Enter；打開dcpromo安裝向?qū)?#xff0c;向?qū)紫葯z查是否有安裝AD DS角色，如果沒有，將會(huì)自動(dòng)安裝，如下圖；

2、安裝完AD DS角色后，顯示“Welcome to the Active Directory Domain Services Installation Wizard”對(duì)話框，選擇“Use advanced mode installation”，單擊“Next”按鈕；

3、直接單擊“Operating System Compatibility”中的“Next”按鈕；

4、選擇“Existing forest”，選擇“Add a domain controller to an existing domain”,單擊“Next”；

5、在域服務(wù)安裝向?qū)ЬW(wǎng)絡(luò)憑據(jù)中，鍵入當(dāng)前域名稱【contoso.com】，在備用憑據(jù)中指定RODC的管理員用戶【RODCadmin】。如圖7

?

6、選擇RODC所在的域,出現(xiàn)如下“select a domain”對(duì)話框，確定2次警告信息

?

?

7、選擇域控制器存放的站點(diǎn)，站點(diǎn)要對(duì)應(yīng)好，按前文設(shè)定的South ，直接單擊“Next”；

8、我們需要將這臺(tái)子域域控制器同時(shí)擔(dān)任DNS和GC的角色，所以這里選中“DNS Server”、“Global Catalog”和“Read only domain controller（RODC）”，單擊“Next”；

?

9、顯示如圖所示“Specify the Password Replication Policy”對(duì)話框，密碼復(fù)制策略決定用戶或計(jì)算機(jī)憑據(jù)是否從可讀寫域控制器復(fù)制到RODC，如果允許，憑據(jù)將緩存到RODC上，這里我們?cè)试S“RODCUsers”組中的用戶緩存到RODC上。

單擊“Add”按鈕，顯示“Add Groups，Users and Computers”對(duì)話框，選擇“Allow passwords for the account to replicate to this RODC”，單擊“OK”按鈕，顯示“Select Users，Computers，or Groups”對(duì)話框，輸入準(zhǔn)備復(fù)制到RODC的用戶，單擊“OK”,返回“Specify the Password Replication Policy”對(duì)話框，單擊“Next”；

10、顯示“Delegation of RODC Installation and Administration”對(duì)話框，設(shè)置管理RODC的賬戶，這里我們?cè)O(shè)置RODCAdmins組成員具備對(duì)RODC的管理權(quán)限。

單擊“Set”按鈕，顯示“Select Users，Computers，or Groups”對(duì)話框，輸入準(zhǔn)備設(shè)置為管理RODC的組或用戶，單擊“OK”,返回“Delegation of RODC Installation and Administration”對(duì)話框，單擊“Next”；

11、顯示“Install from Media”對(duì)話框，這里我們選擇“Replicate data over the network from an existing domain controller”，單擊“Next”；（如果從介質(zhì)安裝，請(qǐng)參考“MCITP必備技能（4）——從介質(zhì)安裝AD DS”）

12、顯示“Source Domain Controller”對(duì)話框，設(shè)置緩存賬戶的源域控制器，默認(rèn)情況下源域控制器是第一臺(tái)域控制器，可以由向?qū)ё詣?dòng)選擇，也可以手動(dòng)設(shè)置，這里我們選中“Use this specific domain controller”，在下方框中選擇源域控制器，單擊“Next”；

13、設(shè)置數(shù)據(jù)庫(kù)、日志和SYSVOL的位置，在生產(chǎn)環(huán)境中，出于性能和可恢復(fù)性的要求，建議分別放在不同的磁盤或存儲(chǔ)設(shè)備中，之后單擊“Next”；

14、設(shè)置目錄服務(wù)歡迎模式下的administrator密碼（該密碼用戶進(jìn)行AD DS恢復(fù)時(shí)使用，如果忘記，還可以通過ntdsutil.exe工具來重置），單擊“Next”；

15、出現(xiàn)“Summary”窗口，顯示AD DS的設(shè)置信息，單擊“Next”按鈕，這里也可以先點(diǎn)擊“Export settings…”按鈕將設(shè)置信息導(dǎo)出成文本文件，用于以后的無人值守安裝；

?

16、彈出AD DS安裝窗口

17、完成后點(diǎn)擊“Finish”；

18、提示需要重啟電腦，點(diǎn)擊“Restart Now”重啟

19、至此，只讀域控制器（RODC）便部署成功了。

七、驗(yàn)證RODC

1、 域控制器狀態(tài)

使用RODCAdmins成員身份登錄RODC，打開“Active Directory Users and Computers”，查看“Domain Controllers”中，該域控制器的DC Type一欄是否Read-only，如圖

2、 驗(yàn)證是否能創(chuàng)建對(duì)象

在“Active Directory Users and Computers”中右鍵點(diǎn)擊“Users”容器，可以看到并沒有“New”菜單，說明無法創(chuàng)建對(duì)象，AD數(shù)據(jù)庫(kù)為只讀。

3、 驗(yàn)證DNS

打開DNS管理器，依次展開“（服務(wù)器名）”—“Forward Lookup Zones”—“（域名）”，在域名上右鍵，點(diǎn)擊“Properties”，查看各更改項(xiàng)按鈕是否顯示為灰色；

4、 “Read-only Domain Controllers”組驗(yàn)證

在“Active Directory Users and Computers”中，依次選擇域名—“Users”，右鍵點(diǎn)擊“Read-only Domain Controllers”，點(diǎn)擊“Properties”，選擇“Members”頁，查看成員中是否有該域控制器。

?

?

五、RODC的配置

在部署完只讀域控制器后，需要在可讀寫的復(fù)制伙伴域控制器配置密碼復(fù)制策略，也就是憑證緩存，用來提高使用RODC的用戶的訪問體驗(yàn)。

密碼復(fù)制策略可以被看成是RODC的訪問控制列表，用來控制RODC是否緩存用戶賬戶密碼，緩存誰的密碼，拒絕緩存哪些賬戶的密碼。例如，域管理員可以事先指定RODC允許緩存的用戶賬戶或者計(jì)算機(jī)賬戶，這樣即使廣州辦的WAN鏈接斷開，RODC也依然可以對(duì)這些賬戶進(jìn)行身份驗(yàn)證。

在Windows Server 2008的AD域中引入了兩個(gè)新的內(nèi)置組來支持RODC的操作，這兩個(gè)組是：【允許RODC密碼復(fù)制組】和【拒絕RODC密碼復(fù)制組】。默認(rèn)情況下，允許RODC密碼復(fù)制組不包含任何成員，但拒絕RODC密碼復(fù)制組則包含下列成員：

"?企業(yè)域控制器

"?企業(yè)只讀域控制器

"?組策略創(chuàng)建者所有者

"?Domain Admins

"?證書發(fā)行者

"?Enterprise Admins

"?Schema Admins

"?域范圍 krbtgt 帳戶

例如，可以在將廣州辦所有的計(jì)算機(jī)和常用用戶賬戶加入到【允許RODC密碼復(fù)制組】中。不過需要注意的是，存在于【拒絕RODC密碼復(fù)制組】中的賬戶優(yōu)先級(jí)要高于【允許RODC密碼復(fù)制組】中的用戶。

如果關(guān)閉RODC或者關(guān)機(jī)，則刷新RODC上的緩存并且緩存中的對(duì)象不再可用，直到RODC反向鏈接到網(wǎng)絡(luò)上的全局目錄服務(wù)器。

通過RODC的部署，Contoso公司使用Windows Server 2008 R2為廣州辦的提供了穩(wěn)定，快速，高效的身份驗(yàn)證機(jī)制，同時(shí)兼顧了物理安全、網(wǎng)絡(luò)安全，降低了服務(wù)器管理方面的難度。

管理RODC 1、在AD用戶和計(jì)算機(jī)管理控制臺(tái)中，建立一全局組TESTRODC_G和加入這個(gè)組用戶RODCUser 2、在AD用戶和計(jì)算機(jī)管理控制臺(tái)中，選擇Domain Controllers，右擊RODC，選擇屬性，進(jìn)行如下操作 （將TestRODC_G增加到允許緩存組） 下面的操作用來查看用戶緩存情況 預(yù)設(shè)用戶緩存操作 查看用戶策略結(jié)果： 以下操作在R2RODC上完成 將RODCUSER增加到RODCUSER本地管理員組 關(guān)閉r2dc01注銷R2RODC,以RODCUSER登錄

本文出自 “從心開始” 博客，請(qǐng)務(wù)必保留此出處http://ycrsjxy.blog.51cto.com/618627/203031

轉(zhuǎn)載于:https://blog.51cto.com/stcliu/726602

總結(jié)

以上是生活随笔為你收集整理的Win2008 R2实战之只读域控制器部署(图)有修改的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。