Win2008 R2實戰之只讀域控制器部署

近日，Contoso公司在廣州又設立了一個分支辦公室，擁有大約40名工做人員，但爲了節省運營成本，只申請了一條2M的ADSL進行互聯網應用和與總部數據通訊。因爲廣州辦廣域網鏈路速度慢、不可靠，並且沒有專業的IT技術人員進行維護，服務器的物理安全也得不到保障，可是這40人每日的都與總部的域控制器進行身份驗證和Internet訪問查詢的話，工做效率必將大大折扣。因而，通過IT部門討論，他們決定在廣州辦部署Windows Server 2008 R2做爲只讀域控制器來簡化IT技術人員的工做，提升廣州辦的辦公效率，同時也能夠提升廣州辦網絡環境的的安全性。

1、 什麼是隻讀域控制器（Read-Only Domain Controller）

RODC是Windows Server 2008 新引入的一個活動目錄特性，與其餘域控制器同樣，RODC也包含AD數據庫，但除了本地管理員和RODC帳戶，RODC默認不保存域用戶帳戶密碼，而且RODC中包含的數據庫也是隻讀的。RODC只能單向的從其餘可讀寫域控制器請求信息，而不會把任何修改傳送給其餘可寫域控制器，這樣作不只能夠下降橋頭服務器的工做負載及監控負載的工做量，還能夠提升分支機構網絡的安全性，同時便於管理。

2、 RODC在Contoso公司應用的好處

只讀活動目錄服務能夠下降因物理安全因素帶來的網絡安全威脅。

下降了網絡之間複製的負載。

緩存憑證能夠加速分支用戶使用域服務的速度，下降了系統在遭到破壞時暴露的用戶信息的數量。

獨立並有限的管理權限，可下降分支機構管理員權限過大對活動目錄的威脅。

只讀DNS能夠加快分支機構訪問Internet的響應時間，但不會作動態更新，若是分支機構向要更新記錄信息，RODC會向可讀寫域控制器的DNS發送一個DNS複製單個對象的改動請求，可讀寫的DNS響應這個請求後，會把改動經過單向複製傳回RODC。

3、 部署RODC的先決條件

1. 森林功能級別須要是Windows 2003或以上級別。

2. 域內須要至少一個Windows 2008域控制器，做爲RODC的複製夥伴。

3. PDC角色必須容許在Windows 2008上。

4. 活動目錄內須要存在正常可讀寫的域控制器。

4、 部署RODC

環境拓撲：如圖1

圖1

注意：因爲RODC的只讀特性帶來的限制，RODC不能做爲橋頭服務器，由於橋頭服務器必須支持雙向複製。

1. 爲RODC建立預安裝計算機帳戶，而後將RODC的安裝及管理權限委派給一個普通域用戶，這樣作簡化了異地RODC的安裝步驟，也避免了以傳統方式建立域控制器時，敏感信息的泄露。

2. 打開【Active Directory 用戶和計算機】，打開【Contoso.com】域，右擊【Domain Controllers】OU，選擇【預建立只讀域控制器帳戶】，如圖2

圖2

3. 此時將會調用AD域服務安裝嚮導，導航至【指定計算機名稱】，輸入只讀域控制器的計算機名【RODC1】，如圖3

圖3

4. 在選擇站點頁面，選擇只讀域控制器所在站點【south】。如圖4

圖4

5. 在其餘域控制器選項中，可設置是否安裝DNS和全局編錄，但RODC選項已經默認選中，並不可取消。如圖5

圖5

6. 在RODC安裝和管理委派頁中，能夠指定一個普通域用戶做爲只讀域控制器的管理員，這裏我委派一個名爲【RODCadmin】的域用戶來管理只讀域控制器。如圖6

圖6

7. 檢查一下配置彙總，沒有問題，既完成了RODC計算機帳戶的建立。

8. 使用具備域管理員權限的用戶登陸到RODC服務器中，安裝好AD DS角色，運行【DCPROMO】命令，進行域控制器的安裝。

注意：此時的RODC服務器必須處於工做組狀態，與活動目錄無關。

9. 在域服務安裝嚮導網絡憑據中，鍵入當前域名稱【contoso.com】，在備用憑據中指定RODC的管理員用戶【RODCadmin】。如圖7

圖7

10. 肯定2次警告信息，如圖八、9

圖8

圖9

11. 確認AD的數據庫、日誌及sysvol的存儲位置，目錄還原密碼，查看摘要信息沒有問題，便可開始AD DS的安裝。如圖10

圖10

5、RODC的配置

在部署完只讀域控制器後，須要在可讀寫的複製夥伴域控制器配置密碼複製策略，也就是憑證緩存，用來提升使用RODC的用戶的訪問體驗。

密碼複製策略能夠被當作是RODC的訪問控制列表，用來控制RODC是否緩存用戶帳戶密碼，緩存誰的密碼，拒絕緩存哪些帳戶的密碼。例如，域管理員能夠事先指定RODC容許緩存的用戶帳戶或者計算機帳戶，這樣即便廣州辦的WAN連接斷開，RODC也依然能夠對這些帳戶進行身份驗證。

在Windows Server 2008的AD域中引入了兩個新的內置組來支持RODC的操做，這兩個組是：【容許RODC密碼複製組】和【拒絕RODC密碼複製組】。默認狀況下，容許RODC密碼複製組不包含任何成員，但拒絕RODC密碼複製組則包含下列成員：

" 企業域控制器

" 企業只讀域控制器

" 組策略建立者全部者

" Domain Admins

" 證書發行者

" Enterprise Admins

" Schema Admins

" 域範圍 krbtgt 賬戶

例如，能夠在將廣州辦全部的計算機和經常使用用戶帳戶加入到【容許RODC密碼複製組】中。不過須要注意的是，存在於【拒絕RODC密碼複製組】中的帳戶優先級要高於【容許RODC密碼複製組】中的用戶。

若是關閉RODC或者關機，則刷新RODC上的緩存而且緩存中的對象再也不可用，直到RODC反向連接到網絡上的全局目錄服務器。

經過RODC的部署，Contoso公司使用Windows Server 2008 R2爲廣州辦的提供了穩定，快速，高效的身份驗證機制，同時兼顧了物理安全、網絡安全，下降了服務器管理方面的難度。

正當小趙部署配置完RODC，覺得萬事大吉的時候，經理走過來講：如今廣州辦尚未專業的機房，RODC的服務器就放在辦公室裏，萬一被盜，那硬盤裏的公司信息怎麼辦？小趙一聽，陷入了沉思。其實解決這個問題的辦法就藏在Windows Server 2008 R2中，請聽下回分解：強大的磁盤保護系統，Bitlocker。