只讀域控制器 (RODC) 是 Windows Server? 2008 操作系統中的一種新類型的域控制器。借助 RODC，組織可以在無法保證物理安全性的位置中輕松部署域控制器。RODC 承載 Active Directory(R) 域服務 (AD DS) 數據庫的只讀分區。 在 Windows Server 2008 發布之前，如果用戶必須通過廣域網 (WAN) 對域控制器進行身份驗證，則沒有合適的替代方案。在許多情況下，這不是一個有效的解決方案。分支機構通常不能為可寫域控制器提供所需的充分的物理安全性。 此外，當分支機構連接到中心站點時，其網絡帶寬狀況通常較差。這可能增加登錄所需的時間。它還可能妨礙對網絡資源的訪問。 從 Windows Server 2008 開始，組織可以部署 RODC 來解決這些問題。因此，用戶在此情況下可以獲得以下好處： ?提高的安全性 ?更快的登錄速度 ?更有效地訪問網絡上的資源 ????? 部署 RODC 的先決條件如下所示： ?RODC 必須將身份驗證請求轉發到運行 Windows Server 2008 的可寫域控制器。在此域控制器上設置了密碼復制策略，以確定是否為從 RODC 轉發的請求將憑據復制到分支位置。 ?域功能性的級別必須是 Windows Server 2003 或更高版本，以便可以使用 Kerberos 受限制的委派。受限制的委派用于必須在調用方的上下文中模擬的安全調用。 ?林功能性的級別必須是 Windows Server 2003 或更高版本，以便可以使用鏈接值復制。這提供了更高級別的復制一致性。 ?在林中必須運行一次?adprep /rodcprep?以更新在林中的所有 DNS 應用程序目錄分區上的權限。以此方式，作為 DNS 服務器的所有 RODC 都將可以成功復制權限。 [以上內容轉自微軟官網]?AD DS：只讀域控制器 在滿足上面的先決條件后，現在開始進行只讀域控制器在Server Core中的部署，本實驗的環境為：單森林單域、1臺2008域控制器，準備將Server Core加入到現有環境中，并且提升為只讀域控制器。 以下大部分操作將在Server Core中進行... 登錄安裝好的08 Server Core機器，首先來將機器改個名字，在命令提示符下輸入“set c”或者“hostname”可以看到目前的計算機名稱，然后使用netdom renamecomputer將計算機改名，具體見下圖： 更名成功重啟回來之后，現在要為Server Core配置一下IP地址，配置之前先查看一下本地連接的ID號，因為呆會修改IP配置會用到ID號，在命令提示符下輸入 netsh interface ipv4 show interface，從下圖可以看到本地連接的ID為2。 確認ID之后，現在開始修改本地連接的IP配置，具體命令見下圖： 添加完IP地址后還需為本地連接配置一下DNS，具體命令見下圖： ? 配置好之后使用ipconfig /all查看一下... 在確認IP配置信息無誤后，執行下面命令將Server Core加入現有活動目錄域中，具體見下圖： 登錄到現有的08域控制器中使用ADUC查看一下Server Core是否正常加入域...，從下圖的Computers容器中可以看到已經加入一臺名字為rodc的機器。 待Server Core加域成功重啟之后，登錄進去，在命令提示符下面輸入notepad打開記事本編輯器，輸入如下圖內容創建只讀域控制器的應答安裝文件，然后保存為unattend.txt。 應答文件創建好之后，現在就可以開始將Server Core提升成只讀域控制器了，在命令行提示符下輸入 dcpromo /unattend:"c:\unattend.txt" 后會開啟提升過程，根據應答文件中的內容，提升成功后會自動重啟計算機，見下圖： 回到第一臺2008域控制器上打開ADUC查看一下結果，從下圖Domain Controllers容器中可以看到已經增加了一個計算機名稱為rodc的域控制器，并且它的DC類型為：只讀，DC 。 經過上面的操作后，只讀域控制器在Server Core中的部署已經完成，如果我們想將AD帳戶的密碼復制到RODC，可以在ADUC中打開RODC的屬性，切換到“密碼復制策略”選項卡中進行添加操作，見下圖：
















本文轉自葉俊堅51CTO博客，原文鏈接：http://blog.51cto.com/yejunjian/144716 ，如需轉載請自行聯系原作者

總結

以上是生活随笔為你收集整理的只读域控制器在Server Core中的部署的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。