Windows 2008-RODC介绍
1.什么是RODC?
RODC与以前熟悉的附加域控制器相似,不同的是RODC中只加载AD数据库的只读分区。因此,对管理员来说在分支机构的安全和管理方面有多了新的选择,在用户相对较少,物理安全性差,网络带宽较低,IT 知识贫乏的环境提供了新的解决方案。
![](https://i-blog.csdnimg.cn/blog_migrate/0a8b3933c5fa001e9e03f1962acdfaee.png)
1.1传统的多主机复制结构
![](https://i-blog.csdnimg.cn/blog_migrate/26eeb39a70c0d02bf91feb7ffc0a2bbd.png)
1.2部署RODC后结构
中央有一台安装了2008的DC,其他RODC采用单向复制的关系进行连接
![](https://i-blog.csdnimg.cn/blog_migrate/5b07eaad40932b1f9962efceea698db3.png)
2.RODC的功能?
-
只读AD数据库
-
RODC 属性过滤设置
-
单向复制
-
凭证缓存
-
管理员角色分离
-
只读DNS
ps:RODC不支持占有操作主机角色(FSMO)和做为桥头服务器,但是可以做为GC使用。
3.部署RODC的先决条件
林功能级别必须为2003及以上模式
至少令中至少有一台可写WIN2008 DC服务器
准备AD 后面看图吧
4.ADPREP
在安装RODC前需要进行AD的扩展,为什么要运行这步,看介绍吧
![](https://i-blog.csdnimg.cn/blog_migrate/9a378b78bb3caf9e3123d95c2fc3c1c4.png)
在运行这步以前需要先运行adprep /forestprep
![](https://i-blog.csdnimg.cn/blog_migrate/9183302411fe5f05b22941d04b45280b.png)
5.安装RODC
主DC的安装在《Windows 2008-NAP技术初探》中已经介绍过,安装时只要注意林功能级别的学则2003以上就可以了,下面开始看图说话:
熟悉的向导
![](https://i-blog.csdnimg.cn/blog_migrate/f7922e3fb0c69103f1019bc4c94811aa.png)
没什么好说的,下一步
![](https://i-blog.csdnimg.cn/blog_migrate/626988359e7094b24f3ac95c797c3e3e.png)
这里选择向现有林添加DC,熟悉03及以前AD部署的人应该非常熟悉,对了,就是附加域控制器的选项
![](https://i-blog.csdnimg.cn/blog_migrate/57a7f91b58f23f310c221073419affb5.png)
输入想要添加RODC的现有域
![](https://i-blog.csdnimg.cn/blog_migrate/b34f0da3b1cf1ca5c270f4f5b3a39b70.png)
成功检索到
![](https://i-blog.csdnimg.cn/blog_migrate/2b40c0a7a96b197f64161a901d8c70c5.png)
现有AD的默认站点
![](https://i-blog.csdnimg.cn/blog_migrate/2671a8525af439c6aa79a3af95f7719c.png)
这里很关键,也是重点,不选择RODC就是安装以前的附加域控制器了
![](https://i-blog.csdnimg.cn/blog_migrate/4230664c4c57a8b78adae74b106dea92.png)
输入管理和委派,内部组织根据情况规划
![](https://i-blog.csdnimg.cn/blog_migrate/7f390e88132a424f7a93c45642d0f97d.png)
选择数据库、日志文件和SYSVOL的位置,强烈推荐和系统卷分开放置,图里是虚拟机没办法只有一个卷
![](https://i-blog.csdnimg.cn/blog_migrate/788f0202a998e193633f1b864fff53c8.png)
没什么好说的,目录服务还原模式密码,遇到故障还原AD备份时需要用到
![](https://i-blog.csdnimg.cn/blog_migrate/ed7b830f892202a5cb5aef32be42cdb6.png)
摘要
![](https://i-blog.csdnimg.cn/blog_migrate/15d40239d7f6026be813d98a7a562d15.png)
完成
![](https://i-blog.csdnimg.cn/blog_migrate/98f775d27aa61c065b593b2de262b960.png)
6.完成后的RODC
只读DNS
![](https://i-blog.csdnimg.cn/blog_migrate/ecf5e7f446cf360172f91b6683d84dfd.png)
只读AD
![](https://i-blog.csdnimg.cn/blog_migrate/04ef16fd6bcff379a6a2f3ed8f7df8e7.png)
DC在域控制器容器中的属性
![](https://i-blog.csdnimg.cn/blog_migrate/11a18c936d3a4c07e7e7b66acdd7735b.png)
生成的4个新组
![](https://i-blog.csdnimg.cn/blog_migrate/86284a25a4a97bf4e8269bf4fb5bf61a.png)
RODC中的密码复制策略,通过这个策略我们可以决定将那些凭证缓存在RODC中,其中刚才新建的2个组ALLOW和DENY也在里面,我们可以编辑这2个组定义需要和拒绝的凭证缓存
![](https://i-blog.csdnimg.cn/blog_migrate/88b747b4c715626454d8f06617389499.png)
默认的ALLOW组是没有内容的
![](https://i-blog.csdnimg.cn/blog_migrate/6a16da43e2953f5c2651136bf7209b8b.png)
默认的DENY组阻止这些内容
![](https://i-blog.csdnimg.cn/blog_migrate/2f630f484d2cc36b4504097deeb1edd0.png)
默认保存的凭证
![](https://i-blog.csdnimg.cn/blog_migrate/f85248152f76e2bef1cfffb92da0e2ef.png)
![](https://i-blog.csdnimg.cn/blog_migrate/bd54e74f264b8ecc5602f25440632aca.png)
总结:RODC基本的应用就介绍完了,这篇没有做WORD文档,文字都是现敲上去的,格式应该会好些吧。。。
本文转自 90375 51CTO博客,原文链接:http://blog.51cto.com/dong8745/70530,如需转载请自行联系原作者