Windows Server 2016-部署RODC只讀域控制器
只讀域控制器Read-Only Domain Controller簡稱RODC。RODC是Windows Server 2008之后引入的一活動目錄特性,與其他域控制器一樣包含AD數(shù)據(jù)庫,但RODC默認(rèn)不保存域用戶賬戶密碼,并且RODC中包含的數(shù)據(jù)庫也是只讀的;只能單向從其他可讀寫域控制器請求信息,但無法將更改信息同步到其他可寫域控。RODC一般多用于企業(yè)分支機(jī)構(gòu)(辦事處、分公司、駐外站點(diǎn)等),考慮到人員數(shù)量及帶寬運(yùn)營成本等,只讀域控制器可簡化區(qū)域無技術(shù)人員維護(hù)工作及人員投入成本,便于管理,提高本地辦公效率,同時可改善當(dāng)?shù)鼐W(wǎng)絡(luò)環(huán)境的安全性。
架構(gòu)圖:
RODC優(yōu)點(diǎn):
1.只讀Active Directory活動目錄數(shù)據(jù)庫,可降低因物理安全因素帶來的網(wǎng)絡(luò)安全威脅;
2.降低了網(wǎng)絡(luò)之間復(fù)制負(fù)載,更有效的訪問網(wǎng)絡(luò)資源;
3.憑據(jù)緩存。可加速分支用戶登錄驗(yàn)證速度,降低系統(tǒng)在遭到破壞時受影響用戶范圍等(憑據(jù)緩存是用戶或者計算機(jī)憑據(jù)的儲存器。憑據(jù)是由和安全主體關(guān)聯(lián)的一小組大約接近10個密碼的集合所組成。在默認(rèn)情況下RODC不儲存用戶或者計算機(jī)憑據(jù)。例外的情況是RODC自身的計算機(jī)賬戶以及每臺RODC所有的特殊的krbtgt賬戶。你在RODC上必須顯示允許其它任何憑據(jù)緩存。
4.管理員角色權(quán)限分隔。可降低因分支管理員權(quán)限過大對整個活動目錄的威脅;
5.只讀DNS。可選擇性安裝DNS服務(wù),安裝并同步DNS信息后可加快分支機(jī)構(gòu)上網(wǎng)的響應(yīng)時間,但不會做動態(tài)更新,所有更新都是可讀寫域控制器DNS單向同步到RODC DNS服務(wù)器。
RODC缺點(diǎn):
1.默認(rèn)RODC不存儲用戶密碼,如可讀寫域控出現(xiàn)問題,用戶驗(yàn)證會出現(xiàn)異常錯誤。
2.RODC對可讀寫域控依賴性太強(qiáng),如同步的可讀寫域控出現(xiàn)問題將直接影響RODC使用。
部署RODC的先決條件:
1.至少環(huán)境中需要一臺Windows server 2008域控制器;
2.林功能級別需要是Windows server 2003或以上級別;
3.PDC(PDC Emulator)角色必須允許在Windows server 2008上;
4.整個環(huán)境中需要存在正常可讀寫的域控制器;
一:部署只讀域控制器:
1.設(shè)置主機(jī)名及靜態(tài)IP地址,指定主域控地址為首選DNS服務(wù)器地址:
2.通過命令行加域并重啟該服務(wù)器:
netdom join %computername% /d:azureyun.local /userd:azureyun.local\administrator /passwordd:abc.123!
3.如果有需要,記得關(guān)閉防火墻:
4.添加域服務(wù)角色過程省略,直接開始正文,選擇"將域控制器添加到現(xiàn)有域",下一步繼續(xù):
5.勾選"域名系統(tǒng)(DNS)服務(wù)器""全局編錄(GC)""只讀域控制器(RODC)"并輸入目錄還原模式密碼,單擊下一步繼續(xù):
6.選擇是否將密碼復(fù)制到RODC的賬戶,建議不同步域管理員組、系統(tǒng)、服務(wù)架構(gòu)等組密碼復(fù)制,這里可自行設(shè)置,選擇下一步繼續(xù):
7.選擇從哪里同步復(fù)制:
8.指定AD DS數(shù)據(jù)庫、日志文件和SYSVOL的日志存放位置:
9.確認(rèn)已配置信息,點(diǎn)擊下一步繼續(xù):
10.先決條件檢查無問題時,點(diǎn)擊"安裝"繼續(xù):
11.RODC域控制器配置成功,點(diǎn)擊關(guān)閉完成配置:
12.根據(jù)提示重啟服務(wù)器完成配置:
二、驗(yàn)證RODC:
1.查看Active Directory用戶和計算機(jī)下Domain Controllers有關(guān)BRODC的DC類型為"只讀,GC":
2.查看Active Directory用戶和計算機(jī)有關(guān)域控制器相關(guān)信息:
2.1. Active Directory用戶和計算機(jī)下右鍵"更改域控制器":
2.2.選擇更改目錄服務(wù)器,此時選擇此域控制器或AD LDS實(shí)例 為RODC:
2.3.提醒選定只讀域控制器,這里默認(rèn)選擇"確定"繼續(xù):
3.此時我們發(fā)現(xiàn)快捷菜單欄有關(guān)新建用戶、新建組、新建組織單位等都是灰色無法點(diǎn)擊:
4.此時我們發(fā)現(xiàn)右鍵屬性包括所有任務(wù)欄都沒有新建用戶、組織單位等按鈕:
5.此時我們想通過右鍵委派權(quán)限的時候:
會提示我們沒有權(quán)限寫入此對象的安全信息:
6.此時我們想提升域功能級別的時候,發(fā)現(xiàn)我們沒有權(quán)限提升:
7.在操作主機(jī)RID、PDC、基礎(chǔ)結(jié)構(gòu)選項(xiàng)均無法點(diǎn)擊"更改"按鈕,無法更改。
8.通過dsquery server命令查看站點(diǎn)信息如下:
RODC域控制器部署完成。
