Windows Server 2016-部署RODC唯讀網域控制站

標籤：網站資訊   靜態ip   dom   span   唯讀   one   建立使用者   層級   運營   

唯讀網域控制站Read-Only Domain Controller簡稱RODC。RODC是Windows Server 2008之後引入的一活動目錄特性，與其他網域控制站一樣包含AD資料庫，但RODC預設不儲存域使用者賬戶密碼，並且RODC中自主資料庫也是唯讀；只能單向從其他可讀寫網域控制站請求資訊，但無法將更改資訊同步到其他可寫域控。RODC一般多用於企業分公司（辦事處、分公司、駐外網站等），考慮到人員數量及頻寬運營成本等，唯讀網域控制站可簡化地區無技術人員維護工作及人員投入成本，便於管理，提高本地辦公效率，同時可改善當地網路環境的安全性。

架構圖：

RODC優點：

1.唯讀Active Directory活動目錄資料庫，可降低因物理安全因素帶來的網路安全威脅；

2.降低了網路之間複製負載，更有效訪問網路資源；

3.憑據緩衝。可加速分支使用者登入驗證速度，降低系統在遭到破壞時受影響使用者範圍等(憑據緩衝是使用者或者電腦憑據的儲存器。憑據是由和安全性主體關聯的一小組大約接近10個密碼的集合所組成。在預設情況下RODC不儲存使用者或者電腦憑據。例外的情況是RODC自身的電腦賬戶以及每台RODC所有的特殊的krbtgt賬戶。你在RODC上必須顯示允許其它任何憑據緩衝。

)；

4.管理員角色許可權分隔。可降低因分支管理員權限過大對整個活動目錄的威脅；

5.唯讀DNS。可選擇性安裝DNS服務，安裝並同步DNS資訊後可加快分公司上網的回應時間，但不會做動態更新，所有更新都是可讀寫網域控制站DNS單向同步到RODC DNS伺服器。

RODC缺點：

1.預設RODC不儲存使用者密碼，如可讀寫域控出現問題，使用者驗證會出現異常錯誤。

2.RODC對可讀寫域控依賴性太強，如同步的可讀寫域控出現問題將直接影響RODC使用。

部署RODC的先決條件：

1.至少環境中需要一台Windows server 2008網域控制站；

2.林功能層級需要是Windows server 2003或以上層級；

3.PDC(PDC Emulator)角色必須允許在Windows server 2008上;

4.整個環境中需要存在正常可讀寫的網域控制站；

角色	主機名稱	IP地址
主域控	Major.azureyun.local	192.168.156.1
唯讀域控（RODC）	BRODC.azureyun.local	192.168.156.3

一：部署唯讀網域控制站：

1.設定主機名稱及靜態IP地址，指定主域控地址為首選DNS伺服器位址：

2.通過命令列加域並重啟該伺服器：

netdom join %computername% /d:azureyun.local /userd:azureyun.local\administrator /passwordd:abc.123!

3.如果有需要，記得關閉防火牆：

4.添加網域服務角色過程省略，直接開始本文，選擇"將網域控制站添加到現有域"，下一步繼續：

5.勾選"網域名稱系統(DNS)伺服器""全域編錄(GC)""唯讀網域控制站(RODC)"並輸入目錄還原模式密碼，單擊下一步繼續：

6.選擇是否將密碼複製到RODC的賬戶，建議不同步網域系統管理員組、系統、服務架構等組密碼複製，這裡可自行設定，選擇下一步繼續：

7.選擇從哪裡同步複製：

8.指定AD DS資料庫、記錄檔和SYSVOL的日誌存放位置：

9.確認已配置資訊，點擊下一步繼續：

這裡我們也可以通過Powershell命令安裝RODC，命令如下：

#安裝azureyun.local 唯讀域控RODC指令碼Import-Module ADDSDeploymentInstall-ADDSDomainController `-AllowPasswordReplicationAccountName @("AZUREYUN\Allowed RODC Password Replication Group") `-NoGlobalCatalog:$false `-CriticalReplicationOnly:$false `-DatabasePath "C:\Windows\NTDS" `-DenyPasswordReplicationAccountName @("BUILTIN\Administrators", "BUILTIN\Server Operators", "BUILTIN\Backup Operators", "BUILTIN\Account Operators", "AZUREYUN\Denied RODC Password Replication Group") `-DomainName "azureyun.local" `-InstallDns:$true `-LogPath "C:\Windows\NTDS" `-NoRebootOnCompletion:$false `-ReadOnlyReplica:$true `-SiteName "Default-First-Site-Name" `-SysvolPath "C:\Windows\SYSVOL" `-Force:$true

10.先決條件檢查無問題時，點擊"安裝"繼續：

11.RODC網域控制站配置成功，點擊關閉完成配置：

12.根據提示重啟伺服器完成配置：

二、驗證RODC：

1.查看Active Directory使用者和電腦下Domain Controllers有關BRODC的DC類型為"唯讀,GC"：

2.查看Active Directory使用者和電腦有關網域控制站相關資訊：

2.1. Active Directory使用者和電腦下右鍵"更改網域控制站"：

2.2.選擇更改目錄伺服器，此時選擇此網域控制站或AD LDS執行個體 為RODC：

2.3.提醒選定唯讀網域控制站，這裡預設選擇"確定"繼續：

3.此時我們發現捷徑功能表欄有關建立使用者、新群組、新群組織單位等都是灰色無法點擊：

4.此時我們發現右鍵屬性包括所有工作列都沒有建立使用者、組織單位等按鈕：

5.此時我們想通過右鍵委派許可權的時候：

會提示我們沒有許可權寫入此對象的安全資訊：

6.此時我們想提升域功能層級的時候，發現我們沒有許可權提升：

7.在操作主機RID、PDC、基礎結構選項均無法點擊"更改"按鈕，無法更改。

7.通過dsquery server命令查看網站資訊如下：

RODC網域控制站部署完成。

Windows Server 2016-部署RODC唯讀網域控制站