只读域控制器在Server
只读域控制器 (RODC) 是 Windows Server? 2008 操作系统中的一种新类型的域控制器。借助 RODC,组织可以在无法保证物理安全性的位置中轻松部署域控制器。RODC 承载 Active Directory(R) 域服务 (AD DS) 数据库的只读分区。在 Windows Server 2008 发布之前,如果用户必须通过广域网 (WAN) 对域控制器进行身份验证,则没有合适的替代方案。在许多情况下,这不是一个有效的解决方案。分支机构通常不能为可写域控制器提供所需的充分的物理安全性。此外,当分支机构连接到中心站点时,其网络带宽状况通常较差。这可能增加登录所需的时间。它还可能妨碍对网络资源的访问。
从 Windows Server 2008 开始,组织可以部署 RODC 来解决这些问题。因此,用户在此情况下可以获得以下好处:
提高的安全性
更快的登录速度
更有效地访问网络上的资源
部署 RODC 的先决条件如下所示:
RODC 必须将身份验证请求转发到运行 Windows Server 2008 的可写域控制器。在此域控制器上设置了密码复制策略,以确定是否为从 RODC 转发的请求将凭据复制到分支位置。
域功能性的级别必须是 Windows Server 2003 或更高版本,以便可以使用 Kerberos 受限制的委派。受限制的委派用于必须在调用方的上下文中模拟的安全调用。
林功能性的级别必须是 Windows Server 2003 或更高版本,以便可以使用链接值复制。这提供了更高级别的复制一致性。
在林中必须运行一次adprep /rodcprep以更新在林中的所有 DNS 应用程序目录分区上的权限。以此方式,作为 DNS 服务器的所有 RODC 都将可以成功复制权限。
[以上内容转自微软官网]AD DS:只读域控制器
<
在满足上面的先决条件后,现在开始进行只读域控制器在Server Core中的部署,本实验的环境为:单森林单域、1台2008域控制器,准备将Server Core加入到现有环境中,并且提升为只读域控制器。 以下大部分操作将在Server Core中进行...
登录安装好的08 Server Core机器,首先来将机器改个名字,在命令提示符下输入“set c”或者“hostname”可以看到目前的计算机名称,然后使用netdom renamecomputer将计算机改名,具体见下图:
www.ad119.cn/bbs/attachments/computer/20081230/2008123011242784377801.com/y1pMzy9gy9Rx22r23J0hgMyLA93umIArjhuAEpS75XZbWmZJO-4bo8xUrRYEMTOaoYNakxlGaVZxuNDDTtrGyW_a6f-dz4ld6u-?PARTNER=WRITER
更名成功重启回来之后,现在要为Server Core配置一下IP地址,配置之前先查看一下本地连接的ID号,因为呆会修改IP配置会用到ID号,在命令提示符下输入 netsh interface ipv4 show interface,从下图可以看到本地连接的ID为2。
www.ad119.cn/bbs/attachments/computer/20081230/2008123011242790677802.com/y1pMzy9gy9Rx20DinAsyduwhXP2NUdVyXz2RSZURtk2_Pt7UDFcHmmB8KwET_XBFIcX2M6DbxvUeX3NK-B-gkYwhwiKBlBXZQUO?PARTNER=WRITER
确认ID之后,现在开始修改本地连接的IP配置,具体命令见下图:
<
www.ad119.cn/bbs/attachments/computer/20081230/2008123011242795377803.com/y1pMzy9gy9Rx22IBVmGAQNRY_UJK4SZ7G6b0qAl24wfC_N7RAsXLELbqfLpvruB9sKNEdB76ft3TFvb9Y7WCxz00C0hnmp5SvX4?PARTNER=WRITER
添加完IP地址后还需为本地连接配置一下DNS,具体命令见下图:
www.ad119.cn/bbs/attachments/computer/20081230/200812301124281577804.com/y1pMzy9gy9Rx22xDhHz8Y7L-C_MNUo1L6dFxzmodGK2UFE27mmacaRLWoydoSkEgQ8LR6eANc38i0S4YP7zU2yugU8rfRmGarCI?PARTNER=WRITER
配置好之后使用ipconfig /all查看一下...
<
www.ad119.cn/bbs/attachments/computer/20081230/200812301124287877805.com/y1pMzy9gy9Rx22luYrAiREEdEeGf0W88jTk_r3h_-b2RrB2KJHbQr2_AnLHRQGgAuICeuj9y-MUlwRdhPbyKO7yoXLetIjmadtR?PARTNER=WRITER
在确认IP配置信息无误后,执行下面命令将Server Core加入现有活动目录域中,具体见下图:
www.ad119.cn/bbs/attachments/computer/20081230/2008123011242815677806.com/y1pMzy9gy9Rx20sUIvTAG49CoZx51k3aaA0GrCEwK2lcdo57wVvRfVZsgvbBnhX5AG30K08H5F4-yUdw_Fc-aPZTtQC9wXbgGEz?PARTNER=WRITER
<
登录到现有的08域控制器中使用ADUC查看一下Server Core是否正常加入域...,从下图的Computers容器中可以看到已经加入一台名字为rodc的机器。
www.ad119.cn/bbs/attachments/computer/20081230/2008123011242817177807.com/y1pMzy9gy9Rx21S7ceUyKDB_WPfiQNsxty9oSbuV5bq8PKjUczdTBAjfITdBTdvmKHLF9t7SEX3KR0nZpfm6yHiMFNH4K1ZecaG?PARTNER=WRITER
待Server Core加域成功重启之后,登录进去,在命令提示符下面输入notepad打开记事本编辑器,输入如下图内容创建只读域控制器的应答安装文件,然后保存为unattend.txt。
www.ad119.cn/bbs/attachments/computer/20081230/2008123011242817177808.com/y1pMzy9gy9Rx22_hTCCb28wfZD8ZQC3qy8i2z6ZaNvQ331CR5qWScyth7JwS7JCUvfeoF7yEZYiWX-mdUo3_T5OPPJ2tMXocfL0?PARTNER=WRITER
www.ad119.cn/bbs/attachments/computer/20081230/2008123011242825077809.com/y1pCNHOCk9HgQkNX7kY5gAJj1Hg29p-Xmsa_TRVx5N3oOGLabx6f10bxAz6UY8hg47jojzTIS1Vu6WkLl1V0Pdiho94JOlg4dCu?PARTNER=WRITER
应答文件创建好之后,现在就可以开始将Server Core提升成只读域控制器了,在命令行提示符下输入 dcpromo /unattend:"c:\unattend.txt" 后会开启提升过程,根据应答文件中的内容,提升成功后会自动重启计算机,见下图:
<
www.ad119.cn/bbs/attachments/computer/20081230/20081230112428312778010.com/y1pMzy9gy9Rx204F5yGOMAauRS_hGWxlJ7r-sIXp695kgiBvA3u1hUcViiH3aCuIyHD5gqKPKbUuxa2YrYMii-XeTyQhSyPgbin?PARTNER=WRITER
回到第一台2008域控制器上打开ADUC查看一下结果,从下图Domain Controllers容器中可以看到已经增加了一个计算机名称为rodc的域控制器,并且它的DC类型为:只读,DC 。
www.ad119.cn/bbs/attachments/computer/20081230/20081230112428375778011.com/y1pMzy9gy9Rx23p6uEGr_t6I_k2N5UEPZ2nYMTsbVCZl59DOEERGAJCw75g5FD5Oc9Da5dKN8GNtB3W9JbLe_h1WnZoVe6ZsP65?PARTNER=WRITER
经过上面的操作后,只读域控制器在Server Core中的部署已经完成,如果我们想将AD帐户的密码复制到RODC,可以在ADUC中打开RODC的属性,切换到“密码复制策略”选项卡中进行添加操作,见下图:
www.ad119.cn/bbs/attachments/computer/20081230/20081230112428437778012.com/y1pCNHOCk9HgQmJAfNFGa6GjrMGpksuIakKWgW1CQm95QXer36LouRqDoNgfC77Y5AQhI82XyQ_VNGVsoEdHcSE1LCrhI-6T6yi?PARTNER=WRITER
<
页:
[1]