[原创]windows server 2012 AD架构 试验 系列 – 19 RODC

96818

[原创]windows server 2012 AD架构 试验 系列 – 19 RODC
　　大家应该都知道windows 2008 r2针对DC做了功能上的加强:包括可重新启动的ADDS,AD回收站,只读域控制器,ADLDS(用于非域环境下基于目录的application)等
　　RODC它只可以对ADDB读取,不可修改,它的设计背景是在远程边端office来使用,且机房环境恶劣.
1-RODC特性:
　　1-复制ADDB
　　RODC会存储ADDS所有对象和属性,远程office的application能快速的访问ADDB的对象.
　　默认RODC不会存储用户和密码,因此验证用户名和密码也要发给可写DC来处理.
　　2-单向复制 unidirectional Replication,只存在RODC向可写DC复制数据,不会 存在可写DC向RODC复制数据,这样节省了带宽
　　3-认证缓存 Credential Caching,我们可以通过密码复制策略来设置可以被RODC缓存的帐户
　　4-系统管理员角色隔离 admintrator role separation
　　该角色只能在RODC上登入(不可以在其他DC登入),作一些管理工作,如更新程序等,也可以做一些分配工作,但不会危害到域安全.
　　5-只读域名系统 Read-only DNS
　　RODC会复制DNS服务器所有应用程序目录分区,不过RODC上的DNS服务器并不支持客户端直接动态更新.如果客户端要更新记录的话,RODC 的DNS服务会转发给其他DNS服务器.
2-创建RODC的条件:
　　1必须有一台可写的DC
　　2林和域的功能级别必须是windows server 2003 或 2003 R2以上
　　3如果是2003的架构,需要把林的架构和域的安全定义扩展到2008
3-创建RODC
　　一般步骤:
　　1新建RODC帐户,通常由总公司的domain admin来创建新建计算机帐户,设置选项,指定用户或组
　　2将服务器附加到RODC帐户
　　环境:DC7 192.168.70.1 （lab.com） 主DC 站点在SH， DC8 192.168.80.1 RODC 站点在HK
　　我们不能先把DC8 加入lab.com这个域
　　3.1我们在DC7 上预创建RODC帐户 总公司端操作 ：

　　选择高级模式

　　执行安装的权限

　　指定计算机名

　　选择站点

　　RODC的角色

　　设置密码复制策略， 默认group:

　　指定用户来安装配置RODC

　　直接下一步完成
　　同时可以看到DC8在AD用户和计算机中显示的信息

3.2将服务器附加到RODC帐户
　　现在我们要切换到分公司上的DC8 上面来操作了
　　在DC8 上添加ADDS服务，使用指定的帐户去安装RODC

　　用Alice 登入DC8
　　创建一个账号结果报错

　　RODC一些其他小特性
　　首先RODC ADDB不能做快照，其次RODC不能担任任何操作主机角色，除了本地用户和特定组外，RODC是不会保存用户名和密码的
3.3实施在客户端上
　　一定要先做这个设置：把test1和test2两个用户放入到 allow 组里，同时WIN7 client 也要放到该组中

　　先把预设下密码：
　　选择DC8 的属性

　　检查结果：

　　关闭DC7，在WIN7 client端上登入，最后显示验证时在DC8 上产生的
　　这里的主要重点就是管理员一定要先把用户和计算机client先预填充密码起.

更改RODC的委派与密码复制策略
　　直接在DC7 上，选择DC8 的属性，可以更改管理者和密码复制策略

　　如果DC8被******,只要管理员在DC7 上删除DC8 就好.

　　这样就可以摸掉以前缓存的帐户同时删除掉DC8