只读域控制器Read-Only Domain Controller简称RODC。RODC是Windows Server 2008之后引入的一活动目录特性,与其他域控制器一样包含AD数据库,但RODC默认不保存域用户账户密码,并且RODC中包含的数据库也是只读的;只能单向从其他可读写域控制器请求信息,但无法将更改信息同步到其他可写域控。RODC一般多用于企业分支机构(办事处、分公司、驻外站点等),考虑到人员数量及带宽运营成本等,只读域控制器可简化区域无技术人员维护工作及人员投入成本,便于管理,提高本地办公效率,同时可改善当地网络环境的安全性。
架构图:
RODC优点:
1.只读Active Directory活动目录数据库,可降低因物理安全因素带来的网络安全威胁;
2.降低了网络之间复制负载,更有效的访问网络资源;
3.凭据缓存。可加速分支用户登录验证速度,降低系统在遭到破坏时受影响用户范围等(凭据缓存是用户或者计算机凭据的储存器。凭据是由和安全主体关联的一小组大约接近10个密码的集合所组成。在默认情况下RODC不储存用户或者计算机凭据。例外的情况是RODC自身的计算机账户以及每台RODC所有的特殊的krbtgt账户。你在RODC上必须显示允许其它任何凭据缓存。
);
4.管理员角色权限分隔。可降低因分支管理员权限过大对整个活动目录的威胁;
5.只读DNS。可选择性安装DNS服务,安装并同步DNS信息后可加快分支机构上网的响应时间,但不会做动态更新,所有更新都是可读写域控制器DNS单向同步到RODC DNS服务器。
RODC缺点:
1.默认RODC不存储用户密码,如可读写域控出现问题,用户验证会出现异常错误。
2.RODC对可读写域控依赖性太强,如同步的可读写域控出现问题将直接影响RODC使用。
部署RODC的先决条件:
1.至少环境中需要一台Windows server 2008域控制器;
2.林功能级别需要是Windows server 2003或以上级别;
3.PDC(PDC Emulator)角色必须允许在Windows server 2008上;
4.整个环境中需要存在正常可读写的域控制器;
|
角色 |
主机名 |
IP地址 |
|
主域控 |
Major.azureyun.local |
192.168.156.1 |
|
只读域控(RODC) |
BRODC.azureyun.local |
192.168.156.3 |
一:部署只读域控制器:
1.设置主机名及静态IP地址,指定主域控地址为首选DNS服务器地址:
2.通过命令行加域并重启该服务器:
netdom join %computername% /d:azureyun.local /userd:azureyun.local\administrator /passwordd:abc.123!
3.如果有需要,记得关闭防火墙:
4.添加域服务角色过程省略,直接开始正文,选择"将域控制器添加到现有域",下一步继续:
5.勾选"域名系统(DNS)服务器""全局编录(GC)""只读域控制器(RODC)"并输入目录还原模式密码,单击下一步继续:
6.选择是否将密码复制到RODC的账户,建议不同步域管理员组、系统、服务架构等组密码复制,这里可自行设置,选择下一步继续:
7.选择从哪里同步复制:
8.指定AD DS数据库、日志文件和SYSVOL的日志存放位置:
9.确认已配置信息,点击下一步继续:
这里我们也可以通过Powershell命令安装RODC,命令如下:
#安装azureyun.local 只读域控RODC脚本
Import-Module ADDSDeployment
Install-ADDSDomainController `
-AllowPasswordReplicationAccountName @("AZUREYUN\Allowed RODC Password Replication Group") `
-NoGlobalCatalog:$false `
-CriticalReplicationOnly:$false `
-DatabasePath "C:\Windows\NTDS" `
-DenyPasswordReplicationAccountName @("BUILTIN\Administrators", "BUILTIN\Server Operators", "BUILTIN\Backup Operators", "BUILTIN\Account Operators", "AZUREYUN\Denied RODC Password Replication Group") `
-DomainName "azureyun.local" `
-InstallDns:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-ReadOnlyReplica:$true `
-SiteName "Default-First-Site-Name" `
-SysvolPath "C:\Windows\SYSVOL" `
-Force:$true
10.先决条件检查无问题时,点击"安装"继续:
11.RODC域控制器配置成功,点击关闭完成配置:
12.根据提示重启服务器完成配置:
二、验证RODC:
1.查看Active Directory用户和计算机下Domain Controllers有关BRODC的DC类型为"只读,GC":
2.查看Active Directory用户和计算机有关域控制器相关信息:
2.1. Active Directory用户和计算机下右键"更改域控制器":
2.2.选择更改目录服务器,此时选择此域控制器或AD LDS实例 为RODC:
2.3.提醒选定只读域控制器,这里默认选择"确定"继续:
3.此时我们发现快捷菜单栏有关新建用户、新建组、新建组织单位等都是灰色无法点击:
4.此时我们发现右键属性包括所有任务栏都没有新建用户、组织单位等按钮:
5.此时我们想通过右键委派权限的时候:
会提示我们没有权限写入此对象的安全信息:
6.此时我们想提升域功能级别的时候,发现我们没有权限提升:
7.在操作主机RID、PDC、基础结构选项均无法点击"更改"按钮,无法更改。
7.通过dsquery server命令查看站点信息如下:
RODC域控制器部署完成。
原文地址:http://blog.51cto.com/wenzhongxiang/2071803