“我想了解一下您在部署只读域控时,是否设置将用户身份验证请求转发到运行 Windows Server 2008的可写域控制器?”,在哪里配置此设置呢?我完全是按照默认操作来执行的。

回答:对于您的问题:怎样设置将用户身份验证请求转发到运行 Windows Server 2008的可写域控制器?最初部署 RODC 时,必须在作为复制伙伴的可写入域控制器上配置密码复制策略。

密码复制策略相当于一个访问控制列表 (ACL)。它确定是否允许 RODC 缓存密码。您必须在密码复制策略中包含相应的用户、计算机和服务帐户,这样 RODC 才能在本地满足身份验证和服务票证请求。

关于密码复制策略的具体介绍,请参照密码复制策略。

此外,请理解由于现在问题无法重现,我们只能推测一些可能的原因而无法进行具体的分析。除了之前提到的一些原因以外,我们还因确保远端分支机构的客户端可以透过防火墙正常访问您的可写域控制器。 如果有一些防火墙设置阻碍了网络通信,也有可能导致加入域失败, 具体信息请参照Known Issues for Deploying RODCs。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

而且,早上我也在自己的试验台做了一个测试,成功地将一台服务器提升为RODC服务器,之后可以成功地将分支机构客户端加入域。

下面我将介绍我的做法,希望如果您以后有机会需要配置RODC服务器时,可以参考一下。

我的实验环境:将要提升为RODC的服务器名字为VM200803 ,Windows server2008 R2,域名为abcde.com。在进行所有操作之前,VM200803已经是加过域的,向网络适配器分配静态 IPv4地址,用的是本地域中 Domain Admins 组的成员账号登陆。

操作:

  1. 打开服务器管理器。单击“开始”,指向“管理工具”,然后单击“服务器管理器”。
  2. 在“角色摘要”中,单击“添加角色”。
  3. 如有必要,请查看“开始之前”页上的信息,然后单击“下一步”。
  4. 在“选择服务器角色”页上,单击“Active Directory 域服务”复选框,然后单击“下一步”。 

  备注
 
  在运行 Windows Server 2008 R2 的服务器上,可能必须单击“添加必需的功能”安装 .NET Framework 3.5.1 功能,然后才能单击“下一步”。
  
 

  1. 如有必要,请查看“Active Directory 域服务”页上的信息,然后单击“下一步”。
  2. 在“确认安装选择”页上,单击“安装”。
  3. 在“安装结果”页上,单击“关闭该向导并启动 Active Directory 域服务安装向导(dcpromo.exe)”。
  4. 在“欢迎使用 Active Directory 域服务安装向导”页上,单击“下一步”。
  5. 在“操作系统兼容性”页上,查看有关 Windows Server 2008 和 Windows Server 2008 R2 域控制器的默认安全设置的警告,然后单击“下一步”。 您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1
     
  6. 在“选择某一部署配置”页上,单击“现有林”,再单击“向现有域添加域控制器”,然后单击“下一步”。
  7. 在“网络凭据”页上,键入计划要在其中安装其他域控制器的林中的任何现有域的名称。在“请指定用于执行安装的帐户凭据”下,单击“我的当前登录凭据”或单击“备用凭据”,然后单击“设置”。在“Windows 安全”对话框中,提供可用来安装其他域控制器帐户的用户名和密码。若要安装其他域控制器,您必须是 Enterprise Admins 组或 Domain Admins 组的成员。提供凭据后,单击“下一步”。
  8. 在“选择一个域”页上,选择新域控制器的域,然后单击“下一步”。
  9. 在“请选择一个站点”页上,从列表中选择站点或选择站点中与其 IP 地址相对应的选项来安装域控制器,然后单击“下一步”。
  10. 在“其他域控制器选项”页上,进行如下选择,然后单击“下一步”:
     
  11. “DNS 服务器”:默认情况下,此选项处于选中状态,不作任何更改
  12. “全局编录”:默认情况下,此选项处于选中状态。这里不作任何更改。
  13. “只读域控制器”。默认情况下此选项未被选中选中此项,因为我们要配置的就是只读域控制器。
  14. 如果在“欢迎”页面上选中了“使用高级模式安装”,则会显示“从介质安装”页。可以提供将用于创建域控制器和配置 AD DS 的安装介质的位置,还可以选择通过网络执行所有复制。注意,即使您从介质安装,也会通过网络复制某些数据。有关使用该方法安装域控制器的信息,请参阅从介质安装 AD DS。
  15. 如果在“欢迎使用”页上选中“使用高级模式安装”,则会出现“源域控制器”页。单击“让向导选择一个合适的域控制器”或单击“使用此特定的域控制器”以指定希望为创建新的域控制器而作为复制源提供的域控制器,然后单击“下一步”。如果您未选择从介质安装,则会从此源域控制器复制所有数据。
     
  16. 在“数据库、日志文件和 SYSVOL 的位置”页上,键入或浏览到数据库文件、目录服务日志文件和系统卷 (SYSVOL) 文件的卷和文件夹位置,然后单击“下一步”。

Windows Server Backup 按卷备份目录服务。为了有效地备份和恢复,请将这些文件存储到不包含应用程序或其他非目录文件的其他卷上。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

  1. 在“目录服务还原模式的 Administrator 密码”页上,键入并确认还原模式密码,然后单击“下一步”。此密码必须用于在目录服务还原模式 (DSRM) 下启动 AD DS 才能完成必须脱机执行的任务。
  2. 在“摘要”页上,检查您的选择。如有必要,请单击“上一步”更改任何选项。

若要将选择的设置保存到答案文件以便以后自动执行 AD DS 操作,请单击“导出设置”。为答案文件键入名称,然后单击“保存”。

确认所做选择正确无误之后,请单击“下一步”安装 AD DS。

  1. 在“完成 Active Directory 域服务安装向导”页上,单击“完成”。
  2. 还可以选中“完成后重新启动”复选框使服务器自动重启,也可在收到系统提示后重启服务器完成对 AD DS 的安装。

以上内容参照使用 Windows 界面安装其他域控制器。

测试:

用一台不在域内的电脑VM200802做测试,点击“开始”> 右键单击“计算机”>“属性”>在“计算机名称、域和工作组设置”下面有个“更改设置”>左键单击进去>在“要重命名这台计算机,或者更改其域或工作组>单击“更改”>”右侧有一个“更改”>点进去,选中“域”,属于域名“abcde.com”>然后“确定”。之后弹出对话框显示:已经成功加入到域。 

李海连 微软全球技术支持中心

只读域控制器RODC配置过程的相关文章请参考
只读域控制器RODC配置过程
只读域控制器复制连接
Windows 2008RODC密码复制策略
升级到只读域控制器RODC
只读域控不支持客户端加入域
---gnaw0725