返回
windows server 2008 r2 之十四rodc(只读域控制器)

windows server 2008 r2 之十四rodc(只读域控制器)

ID:6075921

大小:659.92 KB

页数:18页

时间:2018-01-02

windows server 2008 r2 之十四rodc(只读域控制器)_第1页
windows server 2008 r2 之十四rodc(只读域控制器)_第2页
windows server 2008 r2 之十四rodc(只读域控制器)_第3页
windows server 2008 r2 之十四rodc(只读域控制器)_第4页
windows server 2008 r2 之十四rodc(只读域控制器)_第5页
资源描述:

《windows server 2008 r2 之十四rodc(只读域控制器)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、WindowsServer2008R2之十四RODC(只读域控制器)一、RODC的特征 只读数据:RODC上包含所有ADDS的对象和属性,但是和可读写的DC不一样的是,默认情况下,RODC上不包含账户的密码。在不能保证域控制器的安全性的情况下(例如分支机构),我们通过RODC实现域信息的安全性。在分支机构如果有LDAP的应用程序需要访问活动目录并对活动目录对象作修改,则该LDAP应用程序可以重定向到中央站点的可读写DC上。  单向复制:RODC对ADDS和DFS执行的常规的入站复制。因为您不能直接在RODC上

2、进行写的操作,所以RODC是不支持出站复制的,所以作为RODC复制伙伴的可读写DC是不会从RODC接收到数据的。RODC的单向复制也同样应用到DFS复制。  凭据缓存:在RODC上存储用户和计算机的凭据称之为credentialcaching(凭据缓存)。默认情况下,RODC上只存储它自己的计算机账户和一个用于这台RODC的特殊的Kerberos票据授权票(KRBTGT)账户,此账户是被可读写DC用来验证RODC身份的。如果您需要在RODC上存储用户凭据或者计算机凭据的话,你需要在RODC上允许这些凭据被缓存

3、。如果您在RODC上激活了凭据缓存,它只会影响组织中计算机和与用户账户的比较小的子集,这是因为RODC一般是总是放置在比较小的分支机构,所以您允许凭据缓存的计算机和用户账户应该都不多。这样即使您的RODC被偷了,您只会丢失那些缓存在RODC上的凭据。其实在后面会说到,在RODC被偷走之后,您可以马上在可读写DC上将RODC的计算机账户删除,在删除时可以对缓存在该RODC上的凭据进行密码重设,这样丢失掉的这些凭据就没有任何作用了。  只读DNS:您可以在RODC上安装DNS服务。RODC可以复制DNS所使用的所

4、有应用程序目录分区(ApplicationDirectoryPartition),包括ForestDNSZones和DomainDNSZones。如果您在RODC上安装了DNS,则客户端可以请求RODC进行名称解析。但是,在RODC上的DNS是不支持客户端直接进行更新DNS纪录的,因此RODC不会在它所拥有的活动目录集成区域里面注册任何NS纪录。当客户端找RODC进行DNS纪录更新时,RODC将返回一个指针。然后客户端计算机将联系指针所指向的DNS服务器更新DNS纪录。在后台,在RODC上的DNS服务器将尝试

5、从执行更新的DNS服务器上复制更新的纪录。为了提高复制效率,RODC只会请求更新的纪录。 管理角色分离:您可以使用该特征来允许一个普通的域用户成为RODC的本地管理员。这样此用户可以对分支机构的RODC进行管理操作,例如安装安全更新或者驱动程序。这个特征好处在于此用用在域中或者任何可读写的域控制器上没有用户权利。而在以前都是可读写DC,DC的本地管理员和域管理员是没有区别的。这使得分支机构用户可以有效的管理RODC而不会影响整个域的安全性。 二、部署RODC的指南如果您需要在有WindowsServer200

6、3域控制器的域中安装RODC,您必须升级一些域控制器到WindowsServer2008。在部署RODC时您应该有以下考虑: 活动目录复制考虑。RODC可以从WindowsSever2003域控制器复制架构分区和配置分区的数据,但是RODC只能从来自同一域的WindowsServer2008的可读写域控制器复制域分区的数据更新。因此,您至少应该在中央站点安装一台WindowsServer2008的域控制器用于RODC复制。 持有PDC角色的WindowsServer2008域控制器。作为PDC操作主控角色的域

7、控制器一定要是WindowsServer2008,这样才可以识别新的RODC所使用的特殊的Kerberos票据授权票(KRBTGT)账户。  与其它域控制器一起部署。您可以在没有任何域控制器的站点部署RODC。但是您也可以在拥有以下域控制器的站点部署RODC:  来自于同一域或者不同域的WindowsServer2003域控制器  来自于同一域或者不同域的WindowsServer2008域控制器  来自不同域的RODC(注:不可以有来自于同一域的RODC)  降低中央站点域控制器的负载。在安装RODC时您可

8、以指定RODC和位于中央站点的特定的桥头服务器进行单向复制,这样降低了网络流量和用于复制的服务器资源使用。  RODC做GC(全局编录)。您可以将RODC设置为GC,但是不能使RODC持有操作主控角色。 三、实现RODC的需求  森林的功能级别需要为WindowsServer2003或以上。这样一个可以支持LVR复制以减少更新的丢失。LVR复制使得可以复制特定的值而不是复制包含一组值得属性。第二个可

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。