rodc 访问文件服务器,Win2008 RODC管理攻略之常见问题解答

【IT168 专稿】前文我们介绍了RODC的基本安装(点击)，与可写域控制器相比 RODC 需要较少的管理，这也是它在Windows Server2008中的一个重要优势。它仅需要入站复制，并且不能将错误信息写入 Active Directory 数据库。

本文整理了RODC的常见的典型问题，些问题基本涵盖了从一般的背景信息到深入的技术问题等内容，供各位网友参考。

1、哪些新属性支持 RODC 密码复制策略？

密码复制策略是一种机制，用于确定是否允许将用户或计算机的凭据从可写域控制器复制到 RODC。在运行 Windows Server 2008 的可写域控制器上会始终设置密码复制策略。

已将下列属性添加到 Active Directory 架构中，以便实现 RODC 缓存操作所需的功能：

msDS-Reveal-OnDemandGroup。 该属性指向允许列表的可分辨名称 (DN)。允许将允许列表中的成员的凭据复制到 RODC。

msDS-NeverRevealGroup。 该属性指向拒绝复制到 RODC 的安全主体的可分辨名称。这对这些安全主体使用 RODC 进行身份验证的功能没有影响。RODC 从不缓存拒绝列表中的成员凭据。会提供拒绝将其凭据复制到 RODC 的安全主体默认列表。这有助于确保 RODC 默认是安全的。

msDS-RevealedList。 该属性是曾经将其密码复制到 RODC 的安全主体的列表。

msDS-AuthenticatedToAccountList。 该属性包含本地域中已向 RODC 进行身份验证的安全主体的列表。该属性的目的是帮助管理员确定哪些计算机和用户使用 RODC 进行登录。这使管理员能够改进 RODC 的密码复制策略。

2、一个 RODC 可以向其他 RODC 进行复制吗？

不可以，同一站点中同一个域的两个 RODC 不能共享缓存的凭据。可以为同一站点中的同一个域部署多个 RODC，但如果中心站点的 WAN 脱机，这可能会导致用户的登录体验有所不同。

3、RODC 支持我的 Active Directory 集成应用程序吗？

是的，如果应用程序符合以下规则，则 RODC 支持 Active Directory 集成应用程序：

如果应用程序执行写操作，则它必须支持参考功能(在客户端上默认情况下处于启用状态)。

当中心站点脱机时，应用程序必须允许写入操作中断。

RODC 包含可写域控制器包含的所有对象和属性吗？

是的，RODC 包含可写域控制器包含的所有对象。如果您将可写域控制器上的 LDAP 存储与 RODC 上的 LDAP 存储相比较，它们是相同的，只是 RODC 不包含在 RODC 筛选的属性集中定义的所有凭据或属性。

4、我可以列出域中每个 RODC 使用的 krbtgt 帐户吗？

可以。若要列出域中每个 RODC 使用的 krbtgt 帐户，请在命令行键入以下命令，然后按 Enter：

Repadmin /showattr /subtree /filter:"(&(objectclass=computer)(msDS-Krbtgtlink=*))" /atts:msDS-krbtgtlink

5、客户端 DNS 更新参考机制如何工作？

由于运行在 RODC 上的 DNS 服务器不能直接注册客户端更新，因此它必须将客户端转介给承载区域文件的主要副本或 Active Directory 集成副本的 DNS 服务器。此服务器有时也称为"可写 DNS 服务器"。当客户端提出一个"查找权威查询"(即更新请求的前身)时，RODC 上的 DNS 服务器会使用域控制器定位程序在最近的站点中查找域控制器。

然后 RODC 将返回的域控制器列表与其拥有的名称服务器 (NS) 资源记录的列表相比较。RODC 将可写 DNS 服务器的 NS 资源记录返回给客户端，客户端可以使用该记录来执行更新。然后客户端执行其更新。

如果最近的站点中没有域控制器与区域的 NS 记录列表中的条目相匹配，则 RODC 会尝试在林中发现与列表中条目相匹配的任何域控制。

假设向站点中引入了一个新的客户端，该站点拥有一个仅在 RODC 上运行的 DNS 服务器。这种情况下，RODC DNS 服务器会尝试复制客户端已尝试在可写 DNS 服务器上更新的 DNS 记录。这发生在 RODC 响应原始的"查找权威查询"之后五分钟左右。

如果 RODC 上的 DNS 客户端尝试进行 DNS 更新，则会返回运行 Windows Server 2008 的域控制器，以便 RODC 可以执行更新。

6、可写域控制器上的 KCC 为什么不尝试构建与 RODC 的连接？

若要构建复制拓扑，知识一致性检查器 (KCC) 会检查以下内容：

包含域控制器的所有站点

每个域控制器拥有的目录分区

与用以构建最低开销跨越树的站点链接相关联的开销

KCC 通过查询 NTDS-DSA 类别(即 NTDS 设置对象的 objectcategory 属性值)的对象的 AD DS，确定站点中是否有域控制器。RODC 的 NTDS 设置对象没有此对象类别。相反，它们支持新的名为 NTDS-DSA-RO 的 objectcategory 值。

因此，可写域控制器上的 KCC 从不将 RODC 视为复制拓扑的一部分。这是因为查询中不会返回 NTDS 设置对象。

但是，RODC 上的 KCC 还需将本地域控制器(自身)视为复制拓扑的一部分，以构建入站连接对象。这通过对 KCC 在所有运行 Windows Server 2008 的域控制器上使用的算法进行少量的逻辑更改便可实现，此更改强制 KCC 将本地域控制器的 NTDS 设置对象添加到拓扑中潜在域控制器的列表中。这使得 RODC 上的 KCC 可以将其自身添加到拓扑中。但是，RODC 上的 KCC 不会将任何其他 RODC 添加到其生成的域控制器列表中。