返回
13_部署只读域控制器(RODC)

13_部署只读域控制器(RODC)

ID:37835726

大小:600.50 KB

页数:18页

时间:2019-06-01

13_部署只读域控制器(RODC)_第1页
13_部署只读域控制器(RODC)_第2页
13_部署只读域控制器(RODC)_第3页
13_部署只读域控制器(RODC)_第4页
13_部署只读域控制器(RODC)_第5页
资源描述:

《13_部署只读域控制器(RODC)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、部署只读域控制器(RODC)一、简介只读域控制器是WindowsServer2008系统中的一种新类型的域控制器,借助RODC,企业可以在物理安全性无法得到保障的地方部署域控制器。在RODC上保存了一份ADDS的只读分区。RODC主要设计用于部署在远程或分支机构环境中。二、RODC的作用RODC提供了一种在要求快速、可靠的身份验证服务但不能确保可写域控制器物理安全性的位置更安全地部署域控制器的方法;某些应用程序只能安装在域控制器上,应用程序使用者经常需要以交互方式登录到域控制器对应用程序进行配置和管理,这会增加域控制

2、器的安全风险,而部署RODC,就可以增加这方面的安全性。三、注意事项RODC不能担任操作主机角色,也不能作为复制拓扑中的桥头堡服务器;可以在WindowsServer2008ServerCore上部署RODC以提高安全性;如果要部署RODC,在域中至少要有一台运行WindowsServer2008的可写域控制器;如果要部署RODC,域功能级别和林功能级别都必须是WindowsServer2003或更高版本;四、RODC提供的新特性只读ADDS数据库RODC上保存了可写域控制器上除帐号密码外的所有对象和属性的只读副本,

3、所有对ADDS数据库的更改都只能在可写域控制器上进行,然后再复制给RODC;需要对目录进行读取的应用程序可以获取访问权限。请求写入访问的轻型目录应用程序协议(LDAP)应用程序将接收LDAP引用响应,该响应将其定向到可写域控制器。单向复制因为任何AD数据库的更改都不会写入RODC,所以可写域控制器就不需要从RODC上复制任何信息。RODC只执行正常的入站复制。凭据缓存默认情况下,RODC上除了RODC的计算机帐户和特殊账户krbtgt之外,不存储用户或计算机凭据。但可以设置密码复制策略将部分用户凭据和计算机凭据从可写

4、域控制器复制到RODC并在RODC上缓存起来,从而直接服务登录请求。管理员角色分隔可以将RODC的本地管理权限委派给其他域用户,以分担域管理员的工作。只读DNS可以在RODC上安装DNS,响应名称解析的请求,但该DNS也是只读的。五、部署RODC的准备工作1、域功能级别必须是WindowsServer2003或更高版本,以便可以使用kerberos受限制的委派;2、林功能级别必须是WindowsServer2003或更高版本,以便可以使用链接值复制,这提供了更高级别的复制一致性;3、域中必须确保至少有一台Window

5、sServer2008可写域控制器,以便RODC可从该域控制器上复制域分区数据;4、在林中必须运行一次adprep/rodcprep以更新在林中的所有DNS应用程序目录分区上的权限,。以此方式,作为DNS服务器的所有RODC都将可以成功复制权限;1)使用EnterpriseAdmins成员身份登录主域控制器,将系统安装盘放进光驱,在命令行下进入光驱的supportadprep目录,输入命令adprep/rodcprep一、部署RODC1、依次点击“Start”—“Run”,输入dcpromo,按Enter;打开d

6、cpromo安装向导,向导首先检查是否有安装ADDS角色,如果没有,将会自动安装,如下图;2、安装完ADDS角色后,显示“WelcometotheActiveDirectoryDomainServicesInstallationWizard”对话框,选择“Useadvancedmodeinstallation”,单击“Next”按钮;3、直接单击“OperatingSystemCompatibility”中的“Next”按钮;4、选择“Existingforest”,选择“Addadomaincontrollerto

7、anexistingdomain”,单击“Next”;5、设置林根域的FQDN,并单击set按钮设置网络凭据,这里的网络凭据需要是企业管理员身份,完成后单击“Next”;6、出现如下“selectadomain”对话框,选择RODC所在的域;7、选择域控制器存放的站点,因为这里只有一个默认的站点,直接单击“Next”;8、我们需要将这台子域域控制器同时担任DNS和GC的角色,所以这里选中“DNSServer”、“GlobalCatalog”和“Readonlydomaincontroller(RODC)”,单击“Ne

8、xt”;9、显示如图所示“SpecifythePasswordReplicationPolicy”对话框,密码复制策略决定用户或计算机凭据是否从可读写域控制器复制到RODC,如果允许,凭据将缓存到RODC上,这里我们允许“RODCUsers”组中的用户缓存到RODC上。单击“Add”按钮,显示“AddGroups,UsersandCompute

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。