什么是RODC
Read only domain controller,顾名思义,只读域控制器。设计rodc主要是为了在分支机构中部署。因为,分支机构一般来说物理安全性较差,带宽较低,而且缺少有经验的域管理员。
在整个域的架构中处于如下位置
RODC有什么功能
只读域数据库
RODC拥有所有AD DS的属性(除了筛选属性)。但是其不能执行写操作。但是可
原创
2010-03-18 16:39:22
1355阅读
1.RODC名词解释   RODC(Read-only Directory Controller)只读域控制器。这是Server 2008 新增的一种域控制器,顾名思义,它的AD(Active Directory)活动目录数据库只可以读取,不可以被修改,即用户和应用程序无法直接更改RODC的Active Directory数据库。RODC的Active Directory数据库的数据只
原创
2011-01-05 08:41:17
2149阅读
点赞
RODC 的作用
只读AD数据库
DODC属性过滤设置
单项复制
凭证缓存
管理员角色分离
只读DNS活动目录
在Win 2008改进 只读域控制器(RODC)
活动目录在Win 2008改进 只读域控制器
只读域控制器(RODC)是在Windows Server 2008操作系统中一种新的
原创
2010-05-03 19:52:57
1438阅读
点赞
找的两篇文档!
转载
2008-10-06 11:44:15
951阅读
RODC即只读域控制,用于不能保证服务器物理安全的分支机构。RODC和RWDC是单向复制,无需担心被破解等问题。
RODC需求的服务器操作系统环境:域和林功能都工作在Windows Server 2003级别以上,并且该域的PDC仿真器运行在Windows Server 2008或更高的版本上。
RODC需求的客户端操作系统环境:Windows 2000、Windows XP、Windows
原创
2009-07-05 20:11:57
2475阅读
2评论
分阶段部署RODC RODC特点:RODC 是域的附加域控制器,它承载 Active Directory 数据库的只读分区,它只承载部分用户信息,而且只承载用户信息,不包含用户账户的密码信息,通过设置可以在RODC 将部分用户的账户密码信息从主DC上复制到RODC的缓冲区。微软设计 RODC 主要是为了在分支机构环境中部署。分支机构通常用户相对较少,物理安全性差,连接中线站点的网络带宽也相对较低
原创
2010-08-02 16:13:00
967阅读
2评论
windows 2008 rodc扩展。windows 2008 rodc扩展成功了,但依旧提示有错?这是为何?原有一台windows 2003 ,新加一台windows 2008,开始时扩展了森林及域,后考虑要部RODC时,所以扩展/rodcprep时,提示下面信息!! 这是为何?
Adprep 已完成,但有错误。已更新所有分区。有关详细信息,请参阅目录 C:\Windows\debug\adprep\logs\20090908092428 中的 ADPrep.log。
回答:是的,从adprep日志看来,对于DomainDnsZones,ForestDnsZones, DC=contoso partition的扩展都已成功。不应该报这个信息。可能是tool的问题,请问您是在2008上运行这个tool的么。这样,有一个比较快速检测您的adprep是否成功的方法,就是promote一台RODC。如果成功的话,我们可以忽略这问题。如果不行的话,我们通过promote RODC的相关日志来进一步分析这个问题。
这里跟您说一下rodcprep会做些什么事情。您可以在AD中检查一下,如果
原创
2011-08-25 08:59:14
660阅读
对于我们WSFC来说,核心最关注的就是这个凭据缓存功能,因为我们创建WSFC的时候,需要往群集写入CNO对象的,之后还要写入VCO对象,事实上WSFC群集创建VCO CNO对象不仅仅是创建,而且还需要在创建过程写入很多额外的属性,如果是RODC的情况,默认群集创建是一定没办法写入成功的。
原因是RODC环境下不支持直接写入AD数据,所以我们需要事先在RWDC上面预置CNO/VCO计算机对象及属性,并预设凭据缓存至RODC,以让RODC环境创建群集时可以正常使用
其它对于只读DNS,会有DNS转发器帮我们创建出CNO记录,单向复制也没关系,CNO,VCO只需要预置创建出来之后群集就可以在RODC环境运作,不更改就不再需要写入AD属性
在WSFC 2012时代开始,微软开始支持部署RODC模型,后续版本皆沿用此功能。
原创
精选
2017-10-18 11:29:38
2106阅读
点赞
2评论
AD rodc扩展报错AD RODC抢夺FSMO五大角色后,架构扩展报错,解决办法参考链接:http://support.microsoft.com/kb/949257/en-us
转载
精选
2013-11-10 15:39:14
565阅读
Windows 2008-RODC介绍
1.什么是RODC?
RODC与以前熟悉的附加域控制器相似,不同的是RODC中只加载AD数据库的只读分区。因此,对管理员来说在分支机构的安全和管理方面有多了新的选择,在用户相对较少,物理安全性差,网络带宽较低,IT 知识贫乏的环境提供了新的解决方案。
推荐
原创
2008-04-08 20:14:06
10000+阅读
点赞
4评论
首先我们在Sea-DC1(此计算机为一台Windows Server 2008的域控制器)上进行RODC安装的活动目录准备工作。插入Windows Server 2008的安装光盘。进入\Sources\adprep目录,执行命令adprep /rodcprep,如下图(1)、(2)所示。
图(1)
图(2)
注:此命令将更新森林中所有DNS应用程序目录分区的权限。另
原创
2009-04-03 10:11:52
1087阅读
1评论
  我在写关于RODC安装的实验的博客中,我感觉我经历了许多,郁闷了许久,为什么这样就不行了,我明明就是对了,为什么没有出实验效果,为什么我总是卡在这一步?开始为了完成这篇博客,在关于其中如何搭建RODC服务器的具体问题,我没有实验成功,我就拷贝了Internet上的图片配合自己的简介发表了。但是我后来越想越不是滋味,很简单的实验,做成这个造型!!很无语。   于是我一次次的
原创
2011-01-06 15:08:56
411阅读
点赞
dcpromo /replicaornewdomain:readonlyreplica /installdns:yes /replicadomaindnsname:Woodgrovebank.com /sitename=default-first-site-name /safemodeadminpassword:ctocio!
原创
2011-12-08 12:00:42
440阅读
RODC的密码复制策略 接上一篇 继续 RODC 密码复制策略是由包含安全主体(用户、计算机和组)的四个多值 AD DS 属性决定的。每个 RODC 计算机帐户都具有这四个属性: msDS-Reveal-OnDemandGroup,通常也称为“允许列表” msDS-NeverRevealGroup,通常也称为“拒绝列表” msDS-RevealedList,通常也称为“
原创
2009-07-13 23:40:47
3266阅读
将某个普通域用户(或组)委派为RODC管理员:
委派完成后,其用户就可以直接在RODC上登陆,执行管理员操作。
默认委派的RODC管理员密码是不会被缓存在RODC上的,当RODC与RWDC之间的网络不可用时,委派的管理员就无法再登录RODC。通过如下方式可以进行缓存,如下将用户abc密码从DC01缓存到ADDC02(RODC)上:
1)密码复制策略-添加-允许该账户的密码复制到RODC(用户ab
原创
2021-08-23 11:19:27
313阅读
a.在所有可写DC脱机时,RODC无法登录,RODC站点内客户端无法加入\退出域.
b.如果有父子域存在,添加RODC时,需要RODC站点内RODC与父域根DC保持通信.
c.可写DC与RODC站点通信正常,RODC站点内客户端可以只添加RODC上DNS服务器地址,就可进行加入\退出域的操作.
d.如果RODC脱机,客户端只添加了RODC上DN
转载
2009-06-14 17:03:28
632阅读
Windows Server 2008 RODC密码复制策略-强制预设密码。一台2008 DC和2008 RODC,在RODC 上添加Branch Office 组、Domain Computers允许密码复制,U1 已经属于Branch Office 组,在强制预设密码时报错“U1 必须先将该帐户添加到此只读域控制器的已允许列表中”,Domain Computer已经成功加入了。
已经确认该用户对应的组已经添加到允许复制列表,手动复制也完成,相互访问共享也没有问题。请问如何排错?
回答:根据您的描述,我对这个问题的理解是:在一个部署了RODC的环境中,用户U1在强制预设密码时出现”必须先将该帐户添加到此只读域控制器的已允许列表中”的报错信息。该用户加入了Branch Office组,且该组和Domain Computers组已配置为允许密码复制。您所描述的步骤应该是正确的。如果要预缓存密码,在安装好RODC以后只需要以下设置:
原创
2011-08-25 09:03:04
1644阅读
以下场景帮助解释了基于RODC的身份验证过程。在这个场景中:用户Bob想要登录到名称为BOB_WS的工作站。安装BOB_WS工作站子网由一台RODC提供服务。Bob的用户账户被允许在RODC上缓存凭据,但是凭据当前还没有缓存。计算机账户BOB_WS被允许在RODC上缓存凭据,但是凭据当前还没有缓存。Bob尝试在工作站(BOB_WS)上登录。首先,必须从域控制器处获得TGT。在本场景中TGT的获得过
转载
精选
2008-03-29 21:34:13
709阅读
Windows Server 2008 RODC密码复制策略-强制预设密码。一台2008 DC和2008 RODC,在RODC 上添加Branch Office 组、Domain Computers允许密码复制,U1 已经属于Branch Office 组,在强制预设密码时报错“U1 必须先将该帐户添加到此只读域控制器的已允许列表中”,Domain Computer已经成功加入了。
已经确认该用户对应的组已经添加到允许复制列表,手动复制也完成,相互访问共享也没有问题。请问如何排错?
回答:根据您的描述,我对这个问题的理解是:在一个部署了RODC的环境中,用户U1在强制预设密码时出现”必须先将该帐户添加到此只读域控制器的已允许列表中”的报错信息。该用户加入了Branch Office组,且该组和Domain Computers组已配置为允许密码复制。您所描述的步骤应该是正确的。如果要预缓存密码,在安装好RODC以后只需要以下设置:
1. 在RODC上打开ADUC并连接到HUB DC。
2. 建立一个安全组,然后将其加入到“RODC计算机帐号属性/密码复制策略/”下的访问控制列表
原创
2011-10-24 11:11:46
1833阅读
