[原创]windows server 2012 AD架构 试验 系列 – 19 RODC
大家应该都知道windows 2008 r2针对DC做了功能上的加强:包括可重新启动的ADDS,AD回收站,只读域控制器,ADLDS(用于非域环境下基于目录的application)等
RODC它只可以对ADDB读取,不可修改,它的设计背景是在远程边端office来使用,且机房环境恶劣.
1-RODC特性:
1-复制ADDB
RODC会存储ADDS所有对象和属性,远程office的application能快速的访问ADDB的对象.
默认RODC不会存储用户和密码,因此验证用户名和密码也要发给可写DC来处理.
2-单向复制 unidirectional Replication,只存在RODC向可写DC复制数据,不会 存在可写DC向RODC复制数据,这样节省了带宽
3-认证缓存 Credential Caching,我们可以通过密码复制策略来设置可以被RODC缓存的帐户
4-系统管理员角色隔离 admintrator role separation
该角色只能在RODC上登入(不可以在其他DC登入),作一些管理工作,如更新程序等,也可以做一些分配工作,但不会危害到域安全.
5-只读域名系统 Read-only DNS
RODC会复制DNS服务器所有应用程序目录分区,不过RODC上的DNS服务器并不支持客户端直接动态更新.如果客户端要更新记录的话,RODC 的DNS服务会转发给其他DNS服务器.
2-创建RODC的条件:
1必须有一台可写的DC
2林和域的功能级别必须是windows server 2003 或 2003 R2以上
3如果是2003的架构,需要把林的架构和域的安全定义扩展到2008
3-创建RODC
一般步骤:
1新建RODC帐户,通常由总公司的domain admin来创建新建计算机帐户,设置选项,指定用户或组
2将服务器附加到RODC帐户
环境:DC7 192.168.70.1 (lab.com) 主DC 站点在SH, DC8 192.168.80.1 RODC 站点在HK
我们不能先把DC8 加入lab.com这个域
3.1我们在DC7 上预创建RODC帐户 总公司端操作 :
选择高级模式
![clip_image004[4]](https://ucc.alicdn.com/nxvio7gfxsj4a/developer-article540141/20241019/85b7df9e09434064b85313d2f4684d0a.jpeg?x-oss-process=image/resize,w_1400/format,webp "clip_image004[4]")
执行安装的权限
![clip_image006[4]](https://ucc.alicdn.com/nxvio7gfxsj4a/developer-article540141/20241019/d062fe85f3fc4554bb53abd9f437c955.jpeg?x-oss-process=image/resize,w_1400/format,webp "clip_image006[4]")
指定计算机名
![clip_image008[4]](https://ucc.alicdn.com/nxvio7gfxsj4a/developer-article540141/20241019/7218c4c11ee547f4a89fd3f91af46c11.jpeg?x-oss-process=image/resize,w_1400/format,webp "clip_image008[4]")
选择站点
![clip_image010[4]](https://ucc.alicdn.com/nxvio7gfxsj4a/developer-article540141/20241019/80de7feb88e5465f9a908d2150a30070.jpeg?x-oss-process=image/resize,w_1400/format,webp "clip_image010[4]")
RODC的角色
![clip_image012[4]](https://ucc.alicdn.com/nxvio7gfxsj4a/developer-article540141/20241019/e43c98150166488792a628348aeecd68.jpeg?x-oss-process=image/resize,w_1400/format,webp "clip_image012[4]")
设置密码复制策略, 默认group:
![clip_image014[4]](https://ucc.alicdn.com/nxvio7gfxsj4a/developer-article540141/20241019/871ad82c639440e98dfb06d6113e1d9f.jpeg?x-oss-process=image/resize,w_1400/format,webp "clip_image014[4]"){kind=small}
![clip_image016[4]](https://ucc.alicdn.com/nxvio7gfxsj4a/developer-article540141/20241019/f9a948de8ee844159c29975bd39ab7c1.jpeg?x-oss-process=image/resize,w_1400/format,webp "clip_image016[4]")
指定用户来安装配置RODC
![clip_image018[4]](https://ucc.alicdn.com/nxvio7gfxsj4a/developer-article540141/20241019/e651d1d53b4046c5b2df2d407816d180.jpeg?x-oss-process=image/resize,w_1400/format,webp "clip_image018[4]")
直接下一步完成
同时可以看到DC8在AD用户和计算机中显示的信息
![clip_image020[4]](https://ucc.alicdn.com/nxvio7gfxsj4a/developer-article540141/20241019/e51a822ccc5b4052be49d838772d19ce.jpeg?x-oss-process=image/resize,w_1400/format,webp "clip_image020[4]")
3.2将服务器附加到RODC帐户
现在我们要切换到分公司上的DC8 上面来操作了
在DC8 上添加ADDS服务,使用指定的帐户去安装RODC
![clip_image022[4]](https://ucc.alicdn.com/nxvio7gfxsj4a/developer-article540141/20241019/1d427f1a238d4644a32d08d0ed85bd30.jpeg?x-oss-process=image/resize,w_1400/format,webp "clip_image022[4]")
![clip_image024[4]](https://ucc.alicdn.com/nxvio7gfxsj4a/developer-article540141/20241019/a51931598980499a8ec31be624d808c4.jpeg?x-oss-process=image/resize,w_1400/format,webp "clip_image024[4]")
用Alice 登入DC8
创建一个账号结果报错
![clip_image026[4]](https://ucc.alicdn.com/nxvio7gfxsj4a/developer-article540141/20241019/d20c8a40ce4b48a3972020dc877c0a7a.jpeg?x-oss-process=image/resize,w_1400/format,webp "clip_image026[4]")
RODC一些其他小特性
首先RODC ADDB不能做快照,其次RODC不能担任任何操作主机角色,除了本地用户和特定组外,RODC是不会保存用户名和密码的
3.3实施在客户端上
一定要先做这个设置:把test1和test2两个用户放入到 allow 组里,同时WIN7 client 也要放到该组中
![clip_image028[4]](https://ucc.alicdn.com/nxvio7gfxsj4a/developer-article540141/20241019/b406e2cc02fc4c5a904b7ef91b0e78ff.jpeg?x-oss-process=image/resize,w_1400/format,webp "clip_image028[4]")
先把预设下密码:
选择DC8 的属性
![clip_image030[4]](https://ucc.alicdn.com/nxvio7gfxsj4a/developer-article540141/20241019/3a14be07ad76468cbcb5b5466f5c6d4d.jpeg?x-oss-process=image/resize,w_1400/format,webp "clip_image030[4]")
![clip_image032[4]](https://ucc.alicdn.com/nxvio7gfxsj4a/developer-article540141/20241019/b66306300a7e44ea820c568ec98d0521.jpeg?x-oss-process=image/resize,w_1400/format,webp "clip_image032[4]")
![clip_image034[4]](https://ucc.alicdn.com/nxvio7gfxsj4a/developer-article540141/20241019/49385967e3c74c308f01210e196f5abd.jpeg?x-oss-process=image/resize,w_1400/format,webp "clip_image034[4]")
检查结果:
![clip_image036[4]](https://ucc.alicdn.com/nxvio7gfxsj4a/developer-article540141/20241019/c2b1b8a48cc843feaad3f71f0a62d561.jpeg?x-oss-process=image/resize,w_1400/format,webp "clip_image036[4]")
关闭DC7,在WIN7 client端上登入,最后显示验证时在DC8 上产生的
这里的主要重点就是管理员一定要先把用户和计算机client先预填充密码起.
![clip_image038[4]](https://ucc.alicdn.com/nxvio7gfxsj4a/developer-article540141/20241019/f08f47cd1adb4765b4cdf676db03cadc.jpeg?x-oss-process=image/resize,w_1400/format,webp "clip_image038[4]")
更改RODC的委派与密码复制策略
直接在DC7 上,选择DC8 的属性,可以更改管理者和密码复制策略
![clip_image040[4]](https://ucc.alicdn.com/nxvio7gfxsj4a/developer-article540141/20241019/c24eeea634c24327b8c957b03478d85d.jpeg?x-oss-process=image/resize,w_1400/format,webp "clip_image040[4]")
如果DC8被黑客入侵,只要管理员在DC7 上删除DC8 就好.
![clip_image042[4]](https://ucc.alicdn.com/nxvio7gfxsj4a/developer-article540141/20241019/6da0c5b6727c42da84ab8b31718a00b6.jpeg?x-oss-process=image/resize,w_1400/format,webp "clip_image042[4]")
![clip_image044[4]](https://ucc.alicdn.com/nxvio7gfxsj4a/developer-article540141/20241019/e2ecdf50d5d44df88ba60ad498840a8c.jpeg?x-oss-process=image/resize,w_1400/format,webp "clip_image044[4]")
![clip_image046[4]](https://ucc.alicdn.com/nxvio7gfxsj4a/developer-article540141/20241019/0f5414df7d7242d191c11d818df0d5f2.jpeg?x-oss-process=image/resize,w_1400/format,webp "clip_image046[4]")
这样就可以摸掉以前缓存的帐户同时删除掉DC8
本文转自 bilinyee博客,原文链接: http://blog.51cto.com/ericfu/1625073 如需转载请自行联系原作者
