計(jì)算機(jī)軟件及應(yīng)用WindowsServer只讀域控制器RODC

1、第三篇：只讀域控制器（RODC）本文為第二部分第三篇，文章將覆蓋以下內(nèi)容：l   RODC的特征l   部署RODC的指南l   實(shí)現(xiàn)RODC的需求l   配置密碼復(fù)制策略的選項(xiàng)l   實(shí)現(xiàn)RODC 一、RODC的特征l   只讀數(shù)據(jù)：RODC上包含所有ADDS的對(duì)象和屬性，但是和可讀寫的DC不一樣的是，默認(rèn)情況下，RODC上不包含賬戶的密碼。在不能保證域控制器的安全性的情況下（例如分支機(jī)構(gòu)），我們通過RODC實(shí)現(xiàn)域信息的安全性。在分支機(jī)構(gòu)如果有LDAP的應(yīng)用程序需

2、要訪問活動(dòng)目錄并對(duì)活動(dòng)目錄對(duì)象作修改，則該LDAP應(yīng)用程序可以重定向到中央站點(diǎn)的可讀寫DC上。l   單向復(fù)制：RODC對(duì)ADDS和DFS執(zhí)行的常規(guī)的入站復(fù)制。因?yàn)槟荒苤苯釉赗ODC上進(jìn)行寫的操作，所以RODC是不支持出站復(fù)制的，所以作為RODC復(fù)制伙伴的可讀寫DC是不會(huì)從RODC接收到數(shù)據(jù)的。RODC的單向復(fù)制也同樣應(yīng)用到DFS復(fù)制。l   憑據(jù)緩存:在RODC上存儲(chǔ)用戶和計(jì)算機(jī)的憑據(jù)稱之為credential caching（憑據(jù)緩存）。默認(rèn)情況下，RODC上只存儲(chǔ)它自己的計(jì)算機(jī)賬戶和一個(gè)用于這臺(tái)RODC的特殊的Kerberos 票據(jù)授權(quán)票 (KR

3、BTGT)賬戶，此賬戶是被可讀寫DC用來驗(yàn)證RODC身份的。如果您需要在RODC上存儲(chǔ)用戶憑據(jù)或者計(jì)算機(jī)憑據(jù)的話，你需要在RODC上允許這些憑據(jù)被緩存。如果您在RODC上激活了憑據(jù)緩存，它只會(huì)影響組織中計(jì)算機(jī)和與用戶賬戶的比較小的子集，這是因?yàn)镽ODC一般是總是放置在比較小的分支機(jī)構(gòu)，所以您允許憑據(jù)緩存的計(jì)算機(jī)和用戶賬戶應(yīng)該都不多。這樣即使您的RODC被偷了，您只會(huì)丟失那些緩存在RODC上的憑據(jù)。其實(shí)在后面會(huì)說到，在RODC被偷走之后，您可以馬上在可讀寫DC上將RODC的計(jì)算機(jī)賬戶刪除，在刪除時(shí)可以對(duì)緩存在該RODC上的憑據(jù)進(jìn)行密碼重設(shè)，這樣丟失掉的這些憑據(jù)就沒有任何作用了。l &#

4、160; 只讀DNS:您可以在RODC上安裝DNS服務(wù)。RODC可以復(fù)制DNS所使用的所有應(yīng)用程序目錄分區(qū)（Application Directory Partition），包括ForestDNSZones和DomainDNSZones。如果您在RODC上安裝了DNS，則客戶端可以請(qǐng)求RODC進(jìn)行名稱解析。但是，在RODC上的DNS是不支持客戶端直接進(jìn)行更新DNS紀(jì)錄的，因此RODC不會(huì)在它所擁有的活動(dòng)目錄集成區(qū)域里面注冊(cè)任何NS紀(jì)錄。當(dāng)客戶端找RODC進(jìn)行DNS紀(jì)錄更新時(shí)，RODC將返回一個(gè)指針。然后客戶端計(jì)算機(jī)將聯(lián)系指針?biāo)赶虻腄NS服務(wù)器更新DNS紀(jì)錄。在后臺(tái)，在RODC上的DNS服務(wù)器

5、將嘗試從執(zhí)行更新的DNS服務(wù)器上復(fù)制更新的紀(jì)錄。為了提高復(fù)制效率，RODC只會(huì)請(qǐng)求更新的紀(jì)錄。l   管理角色分離：您可以使用該特征來允許一個(gè)普通的域用戶成為RODC的本地管理員。這樣此用戶可以對(duì)分支機(jī)構(gòu)的RODC進(jìn)行管理操作，例如安裝安全更新或者驅(qū)動(dòng)程序。這個(gè)特征好處在于此用用在域中或者任何可讀寫的域控制器上沒有用戶權(quán)利。而在以前都是可讀寫DC，DC的本地管理員和域管理員是沒有區(qū)別的。這使得分支機(jī)構(gòu)用戶可以有效的管理RODC而不會(huì)影響整個(gè)域的安全性。二、部署RODC的指南如果您需要在有Windows Server 2003域控制器的域中安裝RODC，您必須升級(jí)一些域控制器

6、到Windows Server 2008。在部署RODC時(shí)您應(yīng)該有以下考慮：l   活動(dòng)目錄復(fù)制考慮。RODC可以從Windows Sever 2003域控制器復(fù)制架構(gòu)分區(qū)和配置分區(qū)的數(shù)據(jù)，但是RODC只能從來自同一域的Windows Server 2008的可讀寫域控制器復(fù)制域分區(qū)的數(shù)據(jù)更新。因此，您至少應(yīng)該在中央站點(diǎn)安裝一臺(tái)Windows Server 2008的域控制器用于RODC復(fù)制。l   持有PDC角色的Windows Server 2008域控制器。作為PDC操作主控角色的域控制器一定要是Windows Server 2008，這樣才可以識(shí)

7、別新的RODC所使用的特殊的Kerberos 票據(jù)授權(quán)票 (KRBTGT)賬戶。l   與其它域控制器一起部署。您可以在沒有任何域控制器的站點(diǎn)部署RODC。但是您也可以在擁有以下域控制器的站點(diǎn)部署RODC:n   來自于同一域或者不同域的Windows Server 2003域控制器n   來自于同一域或者不同域的Windows Server 2008域控制器n   來自不同域的RODC（注：不可以有來自于同一域的RODC）l   降低中央站點(diǎn)域控制器的負(fù)載。在安裝RODC時(shí)您可以指定RODC和

8、位于中央站點(diǎn)的特定的橋頭服務(wù)器進(jìn)行單向復(fù)制，這樣降低了網(wǎng)絡(luò)流量和用于復(fù)制的服務(wù)器資源使用。l   RODC做GC(全局編錄)。您可以將RODC設(shè)置為GC，但是不能使RODC持有操作主控角色。三、實(shí)現(xiàn)RODC的需求l   森林的功能級(jí)別需要為Windows Server 2003或以上。這樣一個(gè)可以支持LVR復(fù)制以減少更新的丟失。LVR復(fù)制使得可以復(fù)制特定的值而不是復(fù)制包含一組值得屬性。第二個(gè)可以支持強(qiáng)制委派（constrained delegation）。在RODC的場(chǎng)景中，有一個(gè)特殊的Kerberos 票據(jù)授權(quán)票 (KRBTGT)賬戶用于驗(yàn)證可讀寫DC

9、和RODC之間的連接。該帳戶在RODC上就擁有強(qiáng)制委派權(quán)限。l   至少一臺(tái)Windows Server 2008的DC。l   如果只有一臺(tái)Windows Server 2008 DC，此DC應(yīng)該為PDC角色。l   應(yīng)該在同一域中實(shí)現(xiàn)多臺(tái)Windows Server 2008 DC,來實(shí)現(xiàn)RODC復(fù)制的負(fù)載平衡。l   一個(gè)域，一個(gè)站點(diǎn)只能擁有一臺(tái)RODC。四、密碼復(fù)制策略前面有提到RODC支持憑據(jù)緩存，但是RODC在發(fā)送憑據(jù)緩存請(qǐng)求到可讀寫DC時(shí)，可讀寫DC是通過密碼復(fù)制策略來決定賬戶的密碼是否可以被RODC

10、緩存。您可以有以下幾種選擇。n   不緩存賬戶。這個(gè)是默認(rèn)設(shè)置。n   優(yōu)點(diǎn)：n   最高的安全性n   快速的策略處理n   缺點(diǎn)：n   任何人都不可以離線訪問n   在另外一個(gè)站點(diǎn)一定要有一臺(tái)可讀寫DC用于登陸n  緩存大部分賬戶n   優(yōu)點(diǎn)：n   很容易進(jìn)行密碼管理。我們只需要關(guān)注在管理RODC的安全而不是密碼的安全。n   缺點(diǎn)：n   對(duì)于RODC來說，

11、緩存的大部分的密碼將是潛在的安全威脅。n  緩存少數(shù)特定的分支機(jī)構(gòu)賬戶n   優(yōu)點(diǎn)：n   保護(hù)了密碼安全n   實(shí)現(xiàn)了用戶離線訪問n   缺點(diǎn)：n   您需要把每個(gè)計(jì)算機(jī)賬戶和用戶賬戶映射到每個(gè)分支機(jī)構(gòu)，在RODC的屬性中可以查看哪些賬戶通過RODC進(jìn)行身份驗(yàn)證，以此來決定有哪些賬戶是需要為該分支機(jī)構(gòu)的，需要進(jìn)行緩存。這是一個(gè)需要管理員交互式操作的過程，所以帶來一定的管理成本增加。五、實(shí)現(xiàn)RODC。下面我們來看一下實(shí)驗(yàn)過程。首先我們?cè)赟ea-DC1（此計(jì)算機(jī)為一臺(tái)Windows Se

12、rver 2008的域控制器）上進(jìn)行RODC安裝的活動(dòng)目錄準(zhǔn)備工作。插入Windows Server 2008的安裝光盤。進(jìn)入Sourcesadprep目錄，執(zhí)行命令adprep /rodcprep，如下圖（1）、（2）所示。圖（1）圖（2）注：此命令將更新森林中所有DNS應(yīng)用程序目錄分區(qū)的權(quán)限。另外活動(dòng)目錄服務(wù)可以在那些同時(shí)是DNS服務(wù)器的RODC上成功進(jìn)行復(fù)制。接下來我將把一臺(tái)計(jì)算機(jī)名稱為Sea-Svr1（此計(jì)算機(jī)為一臺(tái)加入域的成員服務(wù)器）的計(jì)算機(jī)安裝為只讀的域控制器（RODC）。在Sea-Svr1上打開Server Manager，如下圖（3）所示。圖（3）點(diǎn)擊Roles，選擇Add R

13、ole，出現(xiàn)如下圖（4）所示的向?qū)Вx擇Active Directory Domain Services，點(diǎn)擊Next。圖（4）等待一段時(shí)間，Active Directory Domain Services安裝完成了。如圖（5）所示。圖（5）通過提示可以看到，它告訴我們需要完成安裝，還需要繼續(xù)運(yùn)行Active Directory Domain Service Installation Wizard。那下面我們就運(yùn)行它，展開Roles，選擇Active Directory Domain Service，在詳細(xì)窗格中點(diǎn)擊Run the Active Directory Domain Service

14、 Installation Wizard（dcpromo.exe）。如圖（6）所示。圖（6）此時(shí)將會(huì)運(yùn)行Active Directory Domain Service Installation Wizard。如下圖（7）所示。圖（7）注意，要想安裝RODC的話，需要選擇Use Advanced mode installation。如上圖（7）所示。點(diǎn)擊Next，選擇Existing Forest。如下圖（8）所示。圖（8）點(diǎn)擊Next，輸入域名，并指定執(zhí)行安裝的賬戶為contosoadministrator，如下圖（9）所示。圖（9）點(diǎn)擊Next，選擇域，如下圖（10）所示。圖（10）點(diǎn)擊Ne

15、xt，選擇站點(diǎn)Default-First-Site-Name，如下圖（11）所示。圖（11）點(diǎn)擊Next，在此處是關(guān)鍵設(shè)置，我們需要選擇Read-only Domain Controller(RODC)，我同時(shí)還指定它為DNS Server。如下圖（12）所示。圖（12）點(diǎn)擊Next，在此將會(huì)指定密碼復(fù)制策略來設(shè)置那些賬戶的密碼是允許被此RODC緩存的。其中Settings下設(shè)置為Allow將會(huì)緩存。如下圖（13）所示。圖（13）因?yàn)樵诎惭b好RODC之后是可以重新修改密碼復(fù)制策略的，因此我們?cè)谶@里不作任何修改，直接點(diǎn)擊Next，將出現(xiàn)如下圖（14）所示的畫面。圖（14）在圖（14）中我們指定一

16、個(gè)普通的域用戶Alice Mutten為Sea-svr1這臺(tái)RODC的本地管理員。其實(shí)在這里也體現(xiàn)了管理角色分離的思想。以后Alice Mutten可以管理和維護(hù)這臺(tái)RODC，但是在域中只有普通用戶的權(quán)限，當(dāng)然更加不能管理其他可讀寫的DC，所以提高了域的安全性。點(diǎn)擊Next，將出現(xiàn)Install from media窗口，我們可以選擇從網(wǎng)絡(luò)復(fù)制數(shù)據(jù)，也可以選擇從媒介讀取數(shù)據(jù)。在這里我選擇了默認(rèn)設(shè)置，也就是從網(wǎng)絡(luò)復(fù)制數(shù)據(jù)，如下圖（15）所示。圖（15）點(diǎn)擊Next，指定那一臺(tái)源域控制器將作為安裝時(shí)復(fù)制數(shù)據(jù)的復(fù)制伙伴，通常我們可以指定中央站點(diǎn)的可讀寫的Windows Server 2008的橋頭服

17、務(wù)器。在這里，我指定Sea-DC1。如下圖（16）所示。圖（16）后面的步驟非常簡(jiǎn)單，我就不在一一解釋了。如下圖（17）圖（19）所示。圖（17）圖（18）圖（19）完成安裝以后，重新啟動(dòng)Sea-svr1這臺(tái)計(jì)算機(jī)并用contosoadministrator進(jìn)行登錄。打開Active Directory Users and Computers，展開Computers容器，發(fā)現(xiàn)Sea-Svr1顯示為一臺(tái)RODC。如下圖（20）所示。圖（20）選擇，右擊選擇Change Domain Controller，選擇。這樣我們就連接到了Sea-svr1這臺(tái)RODC上了。如下圖（21）所示。圖（21）然后

18、嘗試在組織單位Sales下右擊，可以發(fā)現(xiàn)根本沒有新建對(duì)象的選擇。如下圖（22）所示。圖（22）重新選擇，右擊選擇Change Domain Controller，選擇。創(chuàng)建用于后面密碼復(fù)制策略和管理角色分離實(shí)驗(yàn)中用到的全局安全組Sales Admins。如下圖（23）、（24）所示。圖（23）圖（24）將Alice Mutten用戶賬戶從Users容器移動(dòng)回組織單位Sales并添加作為Sales Admins組的成員。如下圖（25）、（26）所示。圖（25）圖（26）下面我們將配置密碼復(fù)制策略。點(diǎn)擊Domain Controllers組織單位，打開Sea-svr1計(jì)算機(jī)賬戶的屬性，如下圖（27

19、）所示。圖（27）點(diǎn)擊Password Replication Policy選項(xiàng)卡。如下圖（28）所示。圖（28）從圖(28)中點(diǎn)擊Advanced，將打開圖（29）所示的畫面。圖（29）從圖（29）可以看出，除了RODC自身的計(jì)算機(jī)賬戶和Kerberos 票據(jù)授權(quán)票 (KRBTGT)賬戶之外，確實(shí)默認(rèn)情況下沒有緩存任何賬戶的密碼。更改選項(xiàng)，選擇Accounts that have been authenticated to this Read-Only Domain Controller,可以看出它把曾經(jīng)找RODC進(jìn)行身份驗(yàn)證的用戶Administrator列出來了(通過這個(gè)列表其實(shí)可以幫助

20、您來確定哪些賬戶的密碼應(yīng)該允許此RODC進(jìn)行緩存)。如下圖(30)所示。圖（30）點(diǎn)擊Close，添加Sales Admins組，設(shè)置為Allow。這樣Sales Admins組的成員的密碼將可以被Sea-svr1這臺(tái)RODC緩存。設(shè)置步驟如下圖（31）、（32）所示。圖（31）圖（32）再次點(diǎn)擊Advanced，選擇Resultant Policy選項(xiàng)卡。添加Alice Mutten 和 Bob Smith兩個(gè)賬戶，可以發(fā)現(xiàn)ADDS將自動(dòng)檢查這兩個(gè)賬戶的密碼復(fù)制策略設(shè)置是什么。如下圖（33）所示。圖（33）在Sea-svr1這臺(tái)RODC上點(diǎn)擊注銷，重新以Alice mutten進(jìn)行登陸。如下

21、圖（34）所示。圖（34）使用whoami命令查看Alice Mutten的令牌中組的成員信息。如下圖（35）所示。圖（35）從圖中可以看出Alice Mutten是Sea-svr1這臺(tái)RODC的本地管理員的成員。其實(shí)這是我們?cè)诎惭bSea-svr1這臺(tái)RODC的時(shí)候指定的設(shè)置。從Sea-DC1上打開Active Directory Users and Computers，打開Sea-svr1的屬性，選擇Password Replication Policy，點(diǎn)擊Advanced。可以看到Alice Mutten的密碼已經(jīng)被Sea-svr1緩存了下來。如下圖（36）所示。圖（36）更改選項(xiàng)，選擇

22、Accounts that have been authenticated to this Read-Only Domain Controller,可以看出它列出了Administrator和Alice Mutten。如下圖（37）所示。圖（37）其實(shí)您也可以在用戶沒有找RODC進(jìn)行身份驗(yàn)證的時(shí)候手動(dòng)的把賬戶的密碼復(fù)制到RODC上，當(dāng)然該賬戶依然要滿足密碼復(fù)制策略的設(shè)置。否則手動(dòng)復(fù)制是不能進(jìn)行的。下面我把Bob Smith賬戶也加入Sales Admins 組，如下圖（38）所示。圖（38）打開Sea-svr1的屬性，選擇Password Replication Policy，點(diǎn)擊Advanced。點(diǎn)擊Prepopulate Passwords。如下圖（39）所示。圖（39）添加Bob Smith，如下圖（40）所示。圖（40）在這里，請(qǐng)注意一下，如果您希望在沒有可讀寫DC可用的情況下，用戶依然可以通過RODC登陸，則用戶賬戶的密碼和用戶登陸的計(jì)算機(jī)賬戶的密碼都必須存儲(chǔ)在RODC上。也就是說