在分支机构中部署只读域控制器(RODC)

从下图中可以看到北京和上海两个站点已经通过Site to Site ×××连接好了，shdc是上海站点中一台工作组环境中的Windwos Server 2008服务器，我们将要在shdc这台服务器上部署只读域控制器(RODC)

RODC的好处在此简单列出：

只读活动目录数据库

单向复制

凭据缓存

管理员角色分割

只读DNS

 

1.新建RODC管理员账户

在北京站点AD中新建一个普通权限的用户账户RODCAdmin

 

 

 

2.在分支机构部署RODC

下图是shdc计算机名、IP、DNS相关配置，DNS要指向北京站点中的DNS服务器bjdc.zf.com，要保证能解析到北京的DC

 

 

在shdc上安装ADDS

 

 

安装过程中需要添加.NET Framework 3.5.1功能

 

 

 

运行dcpromo /adv打开AD安装向导，向导自动勾选了【使用高级模式安装】

 

选择【现有林】 【向现有域添加域控制器】

指定AD域的名称，并输入验证凭据

 

选择域zf.com

 

选择事先建立好的ShangHai站点

 

勾选【DNS服务器】【全局编录】【只读域控制器(RODC)】

 

指定密码复制策略
密码复制策略决定了用户或者计算机的凭据是否可以从可写域控制器复制到RODC。如果策略允许，那么可写域控制器将密码复制到RODC上，并且RODC缓存这些凭据
这里先保持默认，稍后再做设置

 

这步可以委派RODC管理员，我这里委派第一步建立的【RODCAdmin】账户为RODC管理员

 

选择【通过网络从现有域控制器复制数据】

 

选择一个源域控制器，这里选bjdc.zf.com

 

指定数据库、日志文件、SYSVOL的位置

 

指定进入目录服务还原模式的密码

 

勾选【完成后重新启动】，待复制完成后会自动重启

重启后RODC安装完成，用委派的RODCAdmin账号登录到RODC

 

3.验证RODC

从AD用户和计算机中可以看出shdc这台域控制器的类型为只读

 

双击shdc打开属性，切换到【密码复制策略】选项卡，发现【添加】按钮为灰色，无法添加密码复制策略

 

在AD用户和计算机中不能新建用户账户

 

Read-only Domain Controllers组成员中包含shdc

 

DNS同样也是只读

 

4.在RODC上缓存用户密码

为了保证DC跟RODC网络断开后，上海站点的用户依旧可以登录，我们要在RODC上缓存用户密码

由于RODC上不能做任何操作，添加密码复制策略就需要在可写域控制器上完成，打开北京站点bjdc上的AD用户和计算机，选择【Domain Controllers】，打开shdc属性

 

切换到【密码复制策略】选项卡，点击【添加】 

选择【允许该账户的密码复制到此RODC中】

 

选择允许缓存密码的用户，这里选择用户RODCAdmin

 

确定后可以看到新建的策略，用户RODCAdmin的密码被允许缓存到RODC上(注意：此策略只是允许用户密码缓存到RODC上，并未做缓存操作，要缓存密码还得做进一步设置)

继续点击【高级】

 

这里可以看到已经缓存密码的账户只有系统默认的2个，我们需要对用户RODCAdmin的密码做缓存，点击【预设密码】

 

选择用户RODCAdmin(注意：选择其它的用户可是不行的，会报错，因为策略中只允许RODCAdmin这个用户做密码缓存)

 

点击【是】，开始缓存

 

确定后提示密码缓存成功，这样可以断开DC与RODC之间的网络，来测试用户是否能在RODC上登录

 

 

最后说说委派

在用没有进行委派的普通用户登录RODC，会报如下错误，说明普通权限的用户是不能登录RODC的

 

如果在RODC安装向导处没有进行用户委派，可以在RODC安装完成后，用administrator登录RODC，打开命令提示符做如下操作来进行用户的委派

转载于:https://blog.51cto.com/jqq1982/988847