Windows 2008-RODC介绍
1.什么是RODC?
RODC与以前熟悉的附加域控制器相似,不同的是RODC中只加载AD数据库的只读分区。因此,对管理员来说在分支机构的安全和管理方面有多了新的选择,在用户相对较少,物理安全性差,网络带宽较低,IT 知识贫乏的环境提供了新的解决方案。
1.1传统的多主机复制结构
1.2部署RODC后结构
中央有一台安装了2008的DC,其他RODC采用单向复制的关系进行连接
2.RODC的功能?
-
只读AD数据库
-
RODC 属性过滤设置
-
单向复制
-
凭证缓存
-
管理员角色分离
-
只读DNS
ps:RODC不支持占有操作主机角色(FSMO)和做为桥头服务器,但是可以做为GC使用。
3.部署RODC的先决条件
林功能级别必须为2003及以上模式
至少令中至少有一台可写WIN2008 DC服务器
准备AD 后面看图吧
4.ADPREP
在安装RODC前需要进行AD的扩展,为什么要运行这步,看介绍吧
在运行这步以前需要先运行adprep /forestprep
5.安装RODC
主DC的安装在《Windows 2008-NAP技术初探》中已经介绍过,安装时只要注意林功能级别的学则2003以上就可以了,下面开始看图说话:
熟悉的向导
没什么好说的,下一步
这里选择向现有林添加DC,熟悉03及以前AD部署的人应该非常熟悉,对了,就是附加域控制器的选项
输入想要添加RODC的现有域
成功检索到
现有AD的默认站点
这里很关键,也是重点,不选择RODC就是安装以前的附加域控制器了
输入管理和委派,内部组织根据情况规划
选择数据库、日志文件和SYSVOL的位置,强烈推荐和系统卷分开放置,图里是虚拟机没办法只有一个卷
没什么好说的,目录服务还原模式密码,遇到故障还原AD备份时需要用到
摘要
完成
6.完成后的RODC
只读DNS
只读AD
DC在域控制器容器中的属性
生成的4个新组
RODC中的密码复制策略,通过这个策略我们可以决定将那些凭证缓存在RODC中,其中刚才新建的2个组ALLOW和DENY也在里面,我们可以编辑这2个组定义需要和拒绝的凭证缓存
默认的ALLOW组是没有内容的
默认的DENY组阻止这些内容
默认保存的凭证
总结:RODC基本的应用就介绍完了,这篇没有做WORD文档,文字都是现敲上去的,格式应该会好些吧。。。
