Windows Server 2016搭建只读域控制器RODC
RODC 承载 Active Directory域服务 (AD DS) 数据库的只读分区,也就是说用户或者应用程序无法直接修改RODC的AD DS数据库,组织可以在无法保证物理安全性的位置中轻松部署域控制器。 设计 RODC 主要是为了在分支机构环境中部署。分支机构通常用户相对较少,物理安全性差,连接中线站点的网络带宽也相对较低,并且缺乏本地 IT 知识。
实验拓扑图
实验环境
服务端为Windows Server 2016中文版,关闭防火墙,IP地址192.168.10.1/24,计算机名为DC,FQDN为DC.hb.com 客户端为Windows Server 2016中文版,关闭防火墙,IP地址192.168.10.2/24,计算机名为RODC,FQDN为RODC.hb.com
服务端配置
IP地址
用命令加域
FQDN
客户端配置
IP地址
安装AD域
将此服务器提升为域控制器
将域控制器添加到现有域
勾选只读域控制器,键入目录服务还原密码Ab123456
RODC选项页面,在“允许将密码复制到RODC的账户下”决定了凭据是否可以从可写域控制器复制到RODC。如果策略允许,那么可写域控制器将密码复制到RODC上,并且RODC缓存这些凭据,这一步保持默认点击下一步
指定从哪个域控制器复制,这里默认下一步
指定AD DS数据库、日志文件,这里默认下一步
查看是否有只读域控制器选项
先决条件检查通过后点击安装,安装完成后将自动重新启动服务器,等待服务器重启完成
修改计算机名称为RODC
客户端查看AD域用户和计算机下Domain Controllers有关RODC的DC类型为"只读,GC",只读域控制器创建完成
客户端上面修改域控制器
打开AD用户和计算机-选中AD用户和计算机-更改域控制器
选择此域控制器或AD LDS实例,选择RODC.hb.com,点击确定
选定的域控制器是只读域控制器,将不能执行任何写入操作
效果
查看主域是否可用创用户
RODC上查看,发现hb.com的域不能创建用户和组了,变成灰色了