1.RODC名词解释

  RODC(Read-only Directory Controller)只读域控制器。这是Server 2008 新增的一种域控制器,顾名思义,它的AD(Active Directory)活动目录数据库只可以读取,不可以被修改,即用户和应用程序无法直接更改RODC的Active Directory数据库。RODC的Active Directory数据库的数据只能从其它可写域控制器复制过来。

 

2.RODC适用的环境和人群

  RODC的设计主要用来给远程分支办公室使用,即那些分公司规模比较少,工作人员较少,安全设施也不完善,又缺少专业网络工程师,但是有必须经常查看总公司的信息情况下搭建RODC。使用人群:一般的域用户即可。

 

3.RODC的必然性

  现有社会全球经济一体化的情况下,公司不可避免的因为扩展业务等原因在其它地区建立分之办公室。这些分之办公室有些需要投入大量的人力和物力,而有些只需少量的工作人员即可完成工作目标,但是无法避免的需要访问总公司的域控制器和提供本地区的DNS解析等。所以此时搭建RODC就可以很好的解决该问题,即节省成本又能完成工作何乐不为!!

 

4.搭建RODC

注:虚拟机使用VPC ,总公司虚拟机使用Server 2008 IP:10.1.1.1 子网掩码:255.0.0.0 DNS:10.1.1.1活动目录(AD)域名为contoso.com。远程分支办公室必须用用Server 2008服务器。首先远程办公室计算机设置IP:10.1.1.2 子网掩码:255.0.0.0 首选DNS:10.1.1.1(如下图)

2011-01-03_23-16-20           2011-01-03_23-13-21

然后加入contoso.com域,前提两个服务器的网卡都为Local only。方法:在远程分支办公室上我的电脑“属性”---计算机名---更改(C)---在隶属于域中输入contoso.com---然后点击“确定”按钮---输入与管理员账户和密码。如下图:

 2011-01-03_23-26-13

!!注意:

1.安装RODC域控制器之前,必须将总公司的域控制器的与功能级别和林功能级别提升至Windows Server 2003或以上。

方法:在总公司Server 2008上的域控制器上打开“开始”菜单---管理工具---Active Directoy 域和信任关系。右击contoso.com---提升与功能级别之Windows Sever 2003或以上,如下图:

2011-01-06_14-30-07

右击Active Directoy 域和信任关系提升林功能级别至Windows Sever 2003或以上,如下图:

2011-01-06_14-30-33 

然后在远程分支办公室Server 2008服务器上运行命令dcpromo.exe,如下图显示,为了显示RODC的功能,我们使用高级模式安装。

2011-01-04_21-15-34

点击“下一步(N)”显示操作系统兼容性---直接进行“下一步”如下图选择现有林中的域控制器

2011-01-04_21-18-28

点击“下一步(N)”输入总公司的域名称contoso.com---然后输入总公司的与管理账户即密码作为凭证

2011-01-04_21-20-45

点击“下一步(N)”,在选择一个域选项中选择contoso.com(林根域)

2011-01-04_21-21-45

点击“下一步(N)”,

 2011-01-06_14-22-04

选择站点,单击“下一步”

2011-01-06_14-22-39

选择域控制器选项,选中“只读域控制器(RODC)”,单击“下一步”

2011-01-06_14-23-12

根据企业情况,选择密码复制策略,我这里保持默认状态。单击“下一步”

2011-01-06_14-24-18

选择用于RODC安装和管理的委派,添加事先在总公司的AD中建立一个名叫RODC的组!单击“下一步”

2011-01-06_14-24-43

选择安装的介质,在这里选择从网络复制。如果网络不可用或者带宽很小的收获可以采用从存储介质中复制。单击“下一步”

2011-01-06_14-25-06

选择源域控制器,这里采用默认,让向导选择一个合适的域控制器。单击“下一步”

2011-01-06_14-25-21

选择数据库、日志文件和SYSVOL的位置。单击“下一步”

2011-01-06_14-25-45

设置还原模式密码。单击“下一步”

2011-01-06_14-25-59

查看摘要,也可在此步骤中导出设置,用于自动应答。单击“下一步”

然后经过等待安装就OK!!!

完成AD域服务安装向导,然后重启即可完成安装RODC的工作。

当你在总公司的域控制器上可以查看到如下图显示的内容!

2011-01-06_14-39-06

 

5.RODC的功能

a.只读的Active Directory 数据库副本除了账户密码。即远程分公司内的用户和应用程序读取Active Directory数据库对象是,可以通过RODC来迅速获取。

b.单向复制:即总公司的AD向RODC复制,而RODC不可以向总公司的AD复制信息。

c.认证缓存:RODC在验证用户密码时,仍需要将它们送到总公司的可写域控制器来验证。为了加快验证速度,可以将用户的密码存储到RODC的认证缓存区。

d.系统管理员隔离:即可以将RODC的管理工作分配给任一域用户,此用户可以在该RODC这台域控制器上登录。

e.只读域名系统:即在RODC上架设DNS,此DNS可以用来提供分支办公室的查询工作,但是不支持客户端直接进行动态更新。

 

6.RODC带来的好处和便利

    首先最重要的一点就是安全,其次是节省了公司大量的人力和物力,另外加快了分支办公室的用户的访问速度。