Win2008 R2實戰之只讀域控制器部署(圖)有修改

Win2008 R2實戰之只讀域控制器部署(圖)

      近日，Contoso公司在廣州又設立了一個分支辦公室，擁有大約40名工做人員，但爲了節省運營成本，只申請了一條2M的ADSL進行互聯網應用和與總部數據通訊。因爲廣州辦廣域網鏈路速度慢、不可靠，並且沒有專業的IT技術人員進行維護，服務器的物理安全也得不到保障，可是這40人每日的都與總部的域控制器進行身份驗證和Internet訪問查詢的話，工做效率必將大大折扣。因而，通過IT部門討論，他們決定在廣州辦部署Windows Server 2008 R2做爲只讀域控制器來簡化IT技術人員的工做，提升廣州辦的辦公效率，同時也能夠提升廣州辦網絡環境的的安全性。

1、 什麼是隻讀域控制器（Read-Only Domain Controller）

RODC是Windows Server 2008 新引入的一個活動目錄特性，與其餘域控制器同樣，RODC也包含AD數據庫，但除了本地管理員和RODC帳戶，RODC默認不保存域用戶帳戶密碼，而且RODC中包含的數據庫也是隻讀的。RODC只能單向的從其餘可讀寫域控制器請求信息，而不會把任何修改傳送給其餘可寫域控制器，這樣作不只能夠下降橋頭服務器的工做負載及監控負載的工做量，還能夠提升分支機構網絡的安全性，同時便於管理。

2、 RODC在Contoso公司應用的好處

只讀活動目錄服務能夠下降因物理安全因素帶來的網絡安全威脅。

下降了網絡之間複製的負載。

緩存憑證能夠加速分支用戶使用域服務的速度，下降了系統在遭到破壞時暴露的用戶信息的數量。

獨立並有限的管理權限，可下降分支機構管理員權限過大對活動目錄的威脅。

只讀DNS能夠加快分支機構訪問Internet的響應時間，但不會作動態更新，若是分支機構向要更新記錄信息，RODC會向可讀寫域控制器的DNS發送一個DNS複製單個對象的改動請求，可讀寫的DNS響應這個請求後，會把改動經過單向複製傳回RODC。

3、 部署RODC的先決條件

1. 森林功能級別須要是Windows 2003或以上級別。

2. 域內須要至少一個Windows 2008域控制器，做爲RODC的複製夥伴。

3. PDC角色必須容許在Windows 2008上。

4. 活動目錄內須要存在正常可讀寫的域控制器。

4、 部署RODC

環境拓撲：如圖1
 

圖1

注意：因爲RODC的只讀特性帶來的限制，RODC不能做爲橋頭服務器，由於橋頭服務器必須支持雙向複製。

    在林中必須運行一次adprep /rodcprep以更新在林中的全部DNS應用程序目錄分區上的權限

使用Enterprise Admins成員身份登陸主域控制器，將系統安裝盤放進光驅，在命令行下進入光驅的\support\adprep目錄，輸入命令adprep /rodcprep

1. 爲RODC建立預安裝計算機帳戶，而後將RODC的安裝及管理權限委派給一個普通域用戶，這樣作簡化了異地RODC的安裝步驟，也避免了以傳統方式建立域控制器時，敏感信息的泄露。

2. 打開【Active Directory 用戶和計算機】，打開【Contoso.com】域，右擊【Domain Controllers】OU，選擇【預建立只讀域控制器帳戶】，如圖2
 

圖2

3. 此時將會調用AD域服務安裝嚮導，導航至【指定計算機名稱】，輸入只讀域控制器的計算機名【RODC1】，如圖3
 

圖3

4. 在選擇站點頁面，選擇只讀域控制器所在站點【south】，站點要在AD站點與服務裏必須在安裝前創建好。如圖4
 

圖4

5. 在其餘域控制器選項中，可設置是否安裝DNS和全局編錄，但RODC選項已經默認選中，並不可取消。選中DNS將支持與遠端的RODC的DNS複製更新，如圖5
 

圖5

6. 在RODC安裝和管理委派頁中，能夠指定一個普通域用戶做爲只讀域控制器的管理員，這裏我委派一個名爲【RODCadmin】的域用戶來管理只讀域控制器。如圖6
 

圖6

7. 檢查一下配置彙總，沒有問題，既完成了RODC計算機帳戶的建立。

遠端的RODC安裝開始

8. 使用具備域管理員權限的用戶登陸到RODC服務器中，安裝好AD DS角色，運行【DCPROMO】命令，進行域控制器的安裝。

注意：此時的RODC服務器必須處於工做組狀態，與活動目錄無關。

 依次點擊「Start」—「Run」，輸入dcpromo，按Enter；打開dcpromo安裝嚮導，嚮導首先檢查是否有安裝AD DS角色，若是沒有，將會自動安裝，以下圖；

二、安裝完AD DS角色後，顯示「Welcome to the Active Directory Domain Services Installation Wizard」對話框，選擇「Use advanced mode installation」，單擊「Next」按鈕；

三、直接單擊「Operating System Compatibility」中的「Next」按鈕；

四、選擇「Existing forest」，選擇「Add a domain controller to an existing domain」,單擊「Next」；

五、在域服務安裝嚮導網絡憑據中，鍵入當前域名稱【contoso.com】，在備用憑據中指定RODC的管理員用戶【RODCadmin】。如圖7

 

六、選擇RODC所在的域,出現以下「select a domain」對話框，肯定2次警告信息

 

 

七、選擇域控制器存放的站點，站點要對應好，按前文設定的South ，直接單擊「Next」；

八、咱們須要將這臺子域域控制器同時擔任DNS和GC的角色，因此這裏選中「DNS Server」、「Global Catalog」和「Read only domain controller（RODC）」，單擊「Next」；

 

九、顯示如圖所示「Specify the Password Replication Policy」對話框，密碼複製策略決定用戶或計算機憑據是否從可讀寫域控制器複製到RODC，若是容許，憑據將緩存到RODC上，這裏咱們容許「RODCUsers」組中的用戶緩存到RODC上。

單擊「Add」按鈕，顯示「Add Groups，Users and Computers」對話框，選擇「Allow passwords for the account to replicate to this RODC」，單擊「OK」按鈕，顯示「Select Users，Computers，or Groups」對話框，輸入準備複製到RODC的用戶，單擊「OK」,返回「Specify the Password Replication Policy」對話框，單擊「Next」；

十、顯示「Delegation of RODC Installation and Administration」對話框，設置管理RODC的帳戶，這裏咱們設置RODCAdmins組成員具有對RODC的管理權限。

單擊「Set」按鈕，顯示「Select Users，Computers，or Groups」對話框，輸入準備設置爲管理RODC的組或用戶，單擊「OK」,返回「Delegation of RODC Installation and Administration」對話框，單擊「Next」；

十一、顯示「Install from Media」對話框，這裏咱們選擇「Replicate data over the network from an existing domain controller」，單擊「Next」；（若是從介質安裝，請參考「MCITP必備技能（4）——從介質安裝AD DS」）

十二、顯示「Source Domain Controller」對話框，設置緩存帳戶的源域控制器，默認狀況下源域控制器是第一臺域控制器，能夠由嚮導自動選擇，也能夠手動設置，這裏咱們選中「Use this specific domain controller」，在下方框中選擇源域控制器，單擊「Next」；

1三、設置數據庫、日誌和SYSVOL的位置，在生產環境中，出於性能和可恢復性的要求，建議分別放在不一樣的磁盤或存儲設備中，以後單擊「Next」；

1四、設置目錄服務歡迎模式下的administrator密碼（該密碼用戶進行AD DS恢復時使用，若是忘記，還能夠經過ntdsutil.exe工具來重置），單擊「Next」；

1五、出現「Summary」窗口，顯示AD DS的設置信息，單擊「Next」按鈕，這裏也能夠先點擊「Export settings…」按鈕將設置信息導出成文本文件，用於之後的無人值守安裝；

 

1六、彈出AD DS安裝窗口

1七、完成後點擊「Finish」；

1八、提示須要重啓電腦，點擊「Restart Now」重啓

1九、至此，只讀域控制器（RODC）便部署成功了。

7、驗證RODC

一、 域控制器狀態

使用RODCAdmins成員身份登陸RODC，打開「Active Directory Users and Computers」，查看「Domain Controllers」中，該域控制器的DC Type一欄是否Read-only，如圖

二、 驗證是否能建立對象

在「Active Directory Users and Computers」中右鍵點擊「Users」容器，能夠看到並無「New」菜單，說明沒法建立對象，AD數據庫爲只讀。

三、 驗證DNS

打開DNS管理器，依次展開「（服務器名）」—「Forward Lookup Zones」—「（域名）」，在域名上右鍵，點擊「Properties」，查看各更改項按鈕是否顯示爲灰色；

四、 「Read-only Domain Controllers」組驗證

在「Active Directory Users and Computers」中，依次選擇域名—「Users」，右鍵點擊「Read-only Domain Controllers」，點擊「Properties」，選擇「Members」頁，查當作員中是否有該域控制器。

 

 

5、RODC的配置

在部署完只讀域控制器後，須要在可讀寫的複製夥伴域控制器配置密碼複製策略，也就是憑證緩存，用來提升使用RODC的用戶的訪問體驗。

密碼複製策略能夠被當作是RODC的訪問控制列表，用來控制RODC是否緩存用戶帳戶密碼，緩存誰的密碼，拒絕緩存哪些帳戶的密碼。例如，域管理員能夠事先指定RODC容許緩存的用戶帳戶或者計算機帳戶，這樣即便廣州辦的WAN連接斷開，RODC也依然能夠對這些帳戶進行身份驗證。

在Windows Server 2008的AD域中引入了兩個新的內置組來支持RODC的操做，這兩個組是：【容許RODC密碼複製組】和【拒絕RODC密碼複製組】。默認狀況下，容許RODC密碼複製組不包含任何成員，但拒絕RODC密碼複製組則包含下列成員：

" 企業域控制器

" 企業只讀域控制器

" 組策略建立者全部者

" Domain Admins

" 證書發行者

" Enterprise Admins

" Schema Admins

" 域範圍 krbtgt 賬戶

例如，能夠在將廣州辦全部的計算機和經常使用用戶帳戶加入到【容許RODC密碼複製組】中。不過須要注意的是，存在於【拒絕RODC密碼複製組】中的帳戶優先級要高於【容許RODC密碼複製組】中的用戶。

若是關閉RODC或者關機，則刷新RODC上的緩存而且緩存中的對象再也不可用，直到RODC反向連接到網絡上的全局目錄服務器。

經過RODC的部署，Contoso公司使用Windows Server 2008 R2爲廣州辦的提供了穩定，快速，高效的身份驗證機制，同時兼顧了物理安全、網絡安全，下降了服務器管理方面的難度。

管理RODC

一、在AD用戶和計算機管理控制檯中，創建一全局組TESTRODC_G和加入這個組用戶RODCUser

二、在AD用戶和計算機管理控制檯中，選擇Domain Controllers，右擊RODC，選擇屬性，進行以下操做

（將TestRODC_G增長到容許緩存組）

 

 

下面的操做用來查看用戶緩存狀況

預設用戶緩存操做

查看用戶策略結果：

如下操做在R2RODC上完成

將RODCUSER增長到RODCUSER本地管理員組

 

 

關閉r2dc01註銷R2RODC,以RODCUSER登陸

 

本文出自 「從心開始」 博客，請務必保留此出處http://ycrsjxy.blog.51cto.com/618627/203031