只读域控制器 (RODC) 是 Windows Server? 2008 操作系统中的一种新类型的域控制器。借助 RODC,组织可以在无法保证物理安全性的位置中轻松部署域控制器。RODC 承载 Active Directory(R) 域服务 (AD DS) 数据库的只读分区。
在 Windows Server 2008 发布之前,如果用户必须通过广域网 (WAN) 对域控制器进行身份验证,则没有合适的替代方案。在许多情况下,这不是一个有效的解决方案。分支机构通常不能为可写域控制器提供所需的充分的物理安全性。此外,当分支机构连接到中心站点时,其网络带宽状况通常较差。这可能增加登录所需的时间。它还可能妨碍对网络资源的访问。
从 Windows Server 2008 开始,组织可以部署 RODC 来解决这些问题。因此,用户在此情况下可以获得以下好处:
提高的安全性
更快的登录速度
更有效地访问网络上的资源
部署 RODC 的先决条件如下所示:
RODC 必须将身份验证请求转发到运行 Windows Server 2008 的可写域控制器。在此域控制器上设置了密码复制策略,以确定是否为从 RODC 转发的请求将凭据复制到分支位置。
域功能性的级别必须是 Windows Server 2003 或更高版本,以便可以使用 Kerberos 受限制的委派。受限制的委派用于必须在调用方的上下文中模拟的安全调用。
林功能性的级别必须是 Windows Server 2003 或更高版本,以便可以使用链接值复制。这提供了更高级别的复制一致性。
在林中必须运行一次adprep /rodcprep以更新在林中的所有 DNS 应用程序目录分区上的权限。以此方式,作为 DNS 服务器的所有 RODC 都将可以成功复制权限。
[以上内容转自微软官网]AD DS:只读域控制器
在满足上面的先决条件后,现在开始进行只读域控制器在Server Core中的部署,本实验的环境为:单森林单域、1台2008域控制器,准备将Server Core加入到现有环境中,并且提升为只读域控制器。 以下大部分操作将在Server Core中进行...
登录安装好的08 Server Core机器,首先来将机器改个名字,在命令提示符下输入“set c”或者“hostname”可以看到目前的计算机名称,然后使用netdom renamecomputer将计算机改名,具体见下图:
更名成功重启回来之后,现在要为Server Core配置一下IP地址,配置之前先查看一下本地连接的ID号,因为呆会修改IP配置会用到ID号,在命令提示符下输入 netsh interface ipv4 show interface,从下图可以看到本地连接的ID为2。
确认ID之后,现在开始修改本地连接的IP配置,具体命令见下图:
添加完IP地址后还需为本地连接配置一下DNS,具体命令见下图:
配置好之后使用ipconfig /all查看一下...
在确认IP配置信息无误后,执行下面命令将Server Core加入现有活动目录域中,具体见下图:
登录到现有的08域控制器中使用ADUC查看一下Server Core是否正常加入域...,从下图的Computers容器中可以看到已经加入一台名字为rodc的机器。
待Server Core加域成功重启之后,登录进去,在命令提示符下面输入notepad打开记事本编辑器,输入如下图内容创建只读域控制器的应答安装文件,然后保存为unattend.txt。
应答文件创建好之后,现在就可以开始将Server Core提升成只读域控制器了,在命令行提示符下输入 dcpromo /unattend:"c:\unattend.txt" 后会开启提升过程,根据应答文件中的内容,提升成功后会自动重启计算机,见下图:
回到第一台2008域控制器上打开ADUC查看一下结果,从下图Domain Controllers容器中可以看到已经增加了一个计算机名称为rodc的域控制器,并且它的DC类型为:只读,DC 。
经过上面的操作后,只读域控制器在Server Core中的部署已经完成,如果我们想将AD帐户的密码复制到RODC,可以在ADUC中打开RODC的属性,切换到“密码复制策略”选项卡中进行添加操作,见下图:
