隻讀域控制器Read-Only Domain Controller簡稱RODC。RODC是Windows Server 2008之後引入的一活動目錄特性,與其他域控制器一樣包含AD資料庫,但RODC預設不儲存域使用者賬戶密碼,并且RODC中包含的資料庫也是隻讀的;隻能單向從其他可讀寫域控制器請求資訊,但無法将更改資訊同步到其他可寫域控。RODC一般多用于企業分支機構(辦事處、分公司、駐外站點等),考慮到人員數量及帶寬營運成本等,隻讀域控制器可簡化區域無技術人員維護工作及人員投入成本,便于管理,提高本地辦公效率,同時可改善當地網絡環境的安全性。
架構圖:
RODC優點:
1.隻讀Active Directory活動目錄資料庫,可降低因實體安全因素帶來的網絡安全威脅;
2.降低了網絡之間複制負載,更有效的通路網絡資源;
3.憑據緩存。可加速分支使用者登入驗證速度,降低系統在遭到破壞時受影響使用者範圍等(憑據緩存是使用者或者計算機憑據的儲存器。憑據是由和安全主體關聯的一小組大約接近10個密碼的集合所組成。在預設情況下RODC不儲存使用者或者計算機憑據。例外的情況是RODC自身的計算機賬戶以及每台RODC所有的特殊的krbtgt賬戶。你在RODC上必須顯示允許其它任何憑據緩存。
);
4.管理者角色權限分隔。可降低因分支管理者權限過大對整個活動目錄的威脅;
5.隻讀DNS。可選擇性安裝DNS服務,安裝并同步DNS資訊後可加快分支機構上網的響應時間,但不會做動态更新,所有更新都是可讀寫域控制器DNS單向同步到RODC DNS伺服器。
RODC缺點:
1.預設RODC不存儲使用者密碼,如可讀寫域控出現問題,使用者驗證會出現異常錯誤。
2.RODC對可讀寫域控依賴性太強,如同步的可讀寫域控出現問題将直接影響RODC使用。
部署RODC的先決條件:
1.至少環境中需要一台Windows server 2008域控制器;
2.林功能級别需要是Windows server 2003或以上級别;
3.PDC(PDC Emulator)角色必須允許在Windows server 2008上;
4.整個環境中需要存在正常可讀寫的域控制器;
| 角色 | 主機名 | IP位址 |
| 主域控 | Major.azureyun.local | 192.168.156.1 |
| 隻讀域控(RODC) | BRODC.azureyun.local | 192.168.156.3 |
一:部署隻讀域控制器:
1.設定主機名及靜态IP位址,指定主域控位址為首選DNS伺服器位址:
2.通過指令行加域并重新開機該伺服器:
netdom join %computername% /d:azureyun.local /userd:azureyun.local\administrator /passwordd:abc.123! 3.如果有需要,記得關閉防火牆:
4.添加域服務角色過程省略,直接開始正文,選擇"将域控制器添加到現有域",下一步繼續:
5.勾選"域名系統(DNS)伺服器""全局編錄(GC)""隻讀域控制器(RODC)"并輸入目錄還原模式密碼,單擊下一步繼續:
6.選擇是否将密碼複制到RODC的賬戶,建議不同步域管理者組、系統、服務架構等組密碼複制,這裡可自行設定,選擇下一步繼續:
7.選擇從哪裡同步複制:
8.指定AD DS資料庫、日志檔案和SYSVOL的日志存放位置:
9.确認已配置資訊,點選下一步繼續:
這裡我們也可以通過Powershell指令安裝RODC,指令如下:
#安裝azureyun.local 隻讀域控RODC腳本
Import-Module ADDSDeployment
Install-ADDSDomainController `
-AllowPasswordReplicationAccountName @("AZUREYUN\Allowed RODC Password Replication Group") `
-NoGlobalCatalog:$false `
-CriticalReplicationOnly:$false `
-DatabasePath "C:\Windows\NTDS" `
-DenyPasswordReplicationAccountName @("BUILTIN\Administrators", "BUILTIN\Server Operators", "BUILTIN\Backup Operators", "BUILTIN\Account Operators", "AZUREYUN\Denied RODC Password Replication Group") `
-DomainName "azureyun.local" `
-InstallDns:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-ReadOnlyReplica:$true `
-SiteName "Default-First-Site-Name" `
-SysvolPath "C:\Windows\SYSVOL" `
-Force:$true 10.先決條件檢查無問題時,點選"安裝"繼續:
11.RODC域控制器配置成功,點選關閉完成配置:
12.根據提示重新開機伺服器完成配置:
二、驗證RODC:
1.檢視Active Directory使用者和計算機下Domain Controllers有關BRODC的DC類型為"隻讀,GC":
2.檢視Active Directory使用者和計算機有關域控制器相關資訊:
2.1. Active Directory使用者和計算機下右鍵"更改域控制器":
2.2.選擇更改目錄伺服器,此時選擇此域控制器或AD LDS執行個體 為RODC:
2.3.提醒標明隻讀域控制器,這裡預設選擇"确定"繼續:
3.此時我們發現快捷菜單欄有關建立使用者、建立組、建立組織機關等都是灰色無法點選:
4.此時我們發現右鍵屬性包括所有工作列都沒有建立使用者、組織機關等按鈕:
5.此時我們想通過右鍵委派權限的時候:
會提示我們沒有權限寫入此對象的安全資訊:
6.此時我們想提升域功能級别的時候,發現我們沒有權限提升:
7.在操作主機RID、PDC、基礎結構選項均無法點選"更改"按鈕,無法更改。
7.通過dsquery server指令檢視站點資訊如下:
RODC域控制器部署完成。
歡迎關注微信公衆号:小溫研習社
轉載于:https://blog.51cto.com/wenzhongxiang/2071803