23WindowsServer2008只讀域控制器RODC

1、第三篇：只讀域控制器（RODC）本文為第二部分第三篇，文章將覆蓋以下內(nèi)容：l   RODC的特征l   部署RODC的指南l   實現(xiàn)RODC的需求l   配置密碼復制策略的選項l   實現(xiàn)RODC 一、RODC的特征l   只讀數(shù)據(jù)：RODC上包含所有ADDS的對象和屬性，但是和可讀寫的DC不一樣的是，默認情況下，RODC上不包含賬戶的密碼。在不能保證域控制器的安全性的情況下（例如分支機構），我們通過RODC實現(xiàn)域信息的安全性。在分支機構如果有LDAP的應用程序需

2、要訪問活動目錄并對活動目錄對象作修改，則該LDAP應用程序可以重定向到中央站點的可讀寫DC上。l   單向復制：RODC對ADDS和DFS執(zhí)行的常規(guī)的入站復制。因為您不能直接在RODC上進行寫的操作，所以RODC是不支持出站復制的，所以作為RODC復制伙伴的可讀寫DC是不會從RODC接收到數(shù)據(jù)的。RODC的單向復制也同樣應用到DFS復制。l   憑據(jù)緩存:在RODC上存儲用戶和計算機的憑據(jù)稱之為credential caching（憑據(jù)緩存）。默認情況下，RODC上只存儲它自己的計算機賬戶和一個用于這臺RODC的特殊的Kerberos 票據(jù)授權票 (KR

3、BTGT)賬戶，此賬戶是被可讀寫DC用來驗證RODC身份的。如果您需要在RODC上存儲用戶憑據(jù)或者計算機憑據(jù)的話，你需要在RODC上允許這些憑據(jù)被緩存。如果您在RODC上激活了憑據(jù)緩存，它只會影響組織中計算機和與用戶賬戶的比較小的子集，這是因為RODC一般是總是放置在比較小的分支機構，所以您允許憑據(jù)緩存的計算機和用戶賬戶應該都不多。這樣即使您的RODC被偷了，您只會丟失那些緩存在RODC上的憑據(jù)。其實在后面會說到，在RODC被偷走之后，您可以馬上在可讀寫DC上將RODC的計算機賬戶刪除，在刪除時可以對緩存在該RODC上的憑據(jù)進行密碼重設，這樣丟失掉的這些憑據(jù)就沒有任何作用了。l &#

4、160; 只讀DNS:您可以在RODC上安裝DNS服務。RODC可以復制DNS所使用的所有應用程序目錄分區(qū)（Application Directory Partition），包括ForestDNSZones和DomainDNSZones。如果您在RODC上安裝了DNS，則客戶端可以請求RODC進行名稱解析。但是，在RODC上的DNS是不支持客戶端直接進行更新DNS紀錄的，因此RODC不會在它所擁有的活動目錄集成區(qū)域里面注冊任何NS紀錄。當客戶端找RODC進行DNS紀錄更新時，RODC將返回一個指針。然后客戶端計算機將聯(lián)系指針所指向的DNS服務器更新DNS紀錄。在后臺，在RODC上的DNS服務器

5、將嘗試從執(zhí)行更新的DNS服務器上復制更新的紀錄。為了提高復制效率，RODC只會請求更新的紀錄。l   管理角色分離：您可以使用該特征來允許一個普通的域用戶成為RODC的本地管理員。這樣此用戶可以對分支機構的RODC進行管理操作，例如安裝安全更新或者驅動程序。這個特征好處在于此用用在域中或者任何可讀寫的域控制器上沒有用戶權利。而在以前都是可讀寫DC，DC的本地管理員和域管理員是沒有區(qū)別的。這使得分支機構用戶可以有效的管理RODC而不會影響整個域的安全性。 二、部署RODC的指南如果您需要在有Windows Server 2003域控制器的域中安裝RODC，您必須升級

6、一些域控制器到Windows Server 2008。在部署RODC時您應該有以下考慮：l   活動目錄復制考慮。RODC可以從Windows Sever 2003域控制器復制架構分區(qū)和配置分區(qū)的數(shù)據(jù)，但是RODC只能從來自同一域的Windows Server 2008的可讀寫域控制器復制域分區(qū)的數(shù)據(jù)更新。因此，您至少應該在中央站點安裝一臺Windows Server 2008的域控制器用于RODC復制。l   持有PDC角色的Windows Server 2008域控制器。作為PDC操作主控角色的域控制器一定要是Windows Server 2008，

7、這樣才可以識別新的RODC所使用的特殊的Kerberos 票據(jù)授權票 (KRBTGT)賬戶。l   與其它域控制器一起部署。您可以在沒有任何域控制器的站點部署RODC。但是您也可以在擁有以下域控制器的站點部署RODC:n   來自于同一域或者不同域的Windows Server 2003域控制器n   來自于同一域或者不同域的Windows Server 2008域控制器n   來自不同域的RODC（注：不可以有來自于同一域的RODC）l   降低中央站點域控制器的負載。在安裝RODC時您可以指

8、定RODC和位于中央站點的特定的橋頭服務器進行單向復制，這樣降低了網(wǎng)絡流量和用于復制的服務器資源使用。l   RODC做GC(全局編錄)。您可以將RODC設置為GC，但是不能使RODC持有操作主控角色。 三、實現(xiàn)RODC的需求l   森林的功能級別需要為Windows Server 2003或以上。這樣一個可以支持LVR復制以減少更新的丟失。LVR復制使得可以復制特定的值而不是復制包含一組值得屬性。第二個可以支持強制委派（constrained delegation）。在RODC的場景中，有一個特殊的Kerberos 票據(jù)授權票 (KRBTGT

9、)賬戶用于驗證可讀寫DC和RODC之間的連接。該帳戶在RODC上就擁有強制委派權限。l   至少一臺Windows Server 2008的DC。l   如果只有一臺Windows Server 2008 DC，此DC應該為PDC角色。l   應該在同一域中實現(xiàn)多臺Windows Server 2008 DC,來實現(xiàn)RODC復制的負載平衡。l   一個域，一個站點只能擁有一臺RODC。 四、密碼復制策略前面有提到RODC支持憑據(jù)緩存，但是RODC在發(fā)送憑據(jù)緩存請求到可讀寫DC時，可讀寫DC是通過密碼復制策

10、略來決定賬戶的密碼是否可以被RODC緩存。您可以有以下幾種選擇。n   不緩存賬戶。這個是默認設置。n   優(yōu)點：n   最高的安全性n   快速的策略處理n   缺點：n   任何人都不可以離線訪問n   在另外一個站點一定要有一臺可讀寫DC用于登陸n  緩存大部分賬戶n   優(yōu)點：n   很容易進行密碼管理。我們只需要關注在管理RODC的安全而不是密碼的安全。n   缺點：n

11、0;  對于RODC來說，緩存的大部分的密碼將是潛在的安全威脅。n  緩存少數(shù)特定的分支機構賬戶n   優(yōu)點：n   保護了密碼安全n   實現(xiàn)了用戶離線訪問n   缺點：n   您需要把每個計算機賬戶和用戶賬戶映射到每個分支機構，在RODC的屬性中可以查看哪些賬戶通過RODC進行身份驗證，以此來決定有哪些賬戶是需要為該分支機構的，需要進行緩存。這是一個需要管理員交互式操作的過程，所以帶來一定的管理成本增加。     五、實現(xiàn)

12、RODC。下面我們來看一下實驗過程。首先我們在Sea-DC1（此計算機為一臺Windows Server 2008的域控制器）上進行RODC安裝的活動目錄準備工作。插入Windows Server 2008的安裝光盤。進入Sourcesadprep目錄，執(zhí)行命令adprep /rodcprep，如下圖（1）、（2）所示。圖（1）圖（2）注：此命令將更新森林中所有DNS應用程序目錄分區(qū)的權限。另外活動目錄服務可以在那些同時是DNS服務器的RODC上成功進行復制。 接下來我將把一臺計算機名稱為Sea-Svr1（此計算機為一臺加入域的成員服務器）的計算機安裝為只讀的域控制器（RODC）。在

13、Sea-Svr1上打開Server Manager，如下圖（3）所示。圖（3）點擊Roles，選擇Add Role，出現(xiàn)如下圖（4）所示的向導，選擇Active Directory Domain Services，點擊Next。圖（4）等待一段時間，Active Directory Domain Services安裝完成了。如圖（5）所示。圖（5）通過提示可以看到，它告訴我們需要完成安裝，還需要繼續(xù)運行Active Directory Domain Service Installation Wizard。那下面我們就運行它，展開Roles，選擇Active Directory Domain S

14、ervice，在詳細窗格中點擊Run the Active Directory Domain Service Installation Wizard（dcpromo.exe）。如圖（6）所示。圖（6）此時將會運行Active Directory Domain Service Installation Wizard。如下圖（7）所示。圖（7）注意，要想安裝RODC的話，需要選擇Use Advanced mode installation。如上圖（7）所示。  點擊Next，選擇Existing Forest。如下圖（8）所示。圖（8）點擊Next，輸入域名，并指定執(zhí)行安裝的賬戶為con

15、tosoadministrator，如下圖（9）所示。圖（9）點擊Next，選擇域，如下圖（10）所示。圖（10）點擊Next，選擇站點Default-First-Site-Name，如下圖（11）所示。圖（11）點擊Next，在此處是關鍵設置，我們需要選擇Read-only Domain Controller(RODC)，我同時還指定它為DNS Server。如下圖（12）所示。圖（12）點擊Next，在此將會指定密碼復制策略來設置那些賬戶的密碼是允許被此RODC緩存的。其中Settings下設置為Allow將會緩存。如下圖（13）所示。圖（13）因為在安裝好RODC之后是可以重新修改密碼復

16、制策略的，因此我們在這里不作任何修改，直接點擊Next，將出現(xiàn)如下圖（14）所示的畫面。圖（14）在圖（14）中我們指定一個普通的域用戶Alice Mutten為Sea-svr1這臺RODC的本地管理員。其實在這里也體現(xiàn)了管理角色分離的思想。以后Alice Mutten可以管理和維護這臺RODC，但是在域中只有普通用戶的權限，當然更加不能管理其他可讀寫的DC，所以提高了域的安全性。 點擊Next，將出現(xiàn)Install from media窗口，我們可以選擇從網(wǎng)絡復制數(shù)據(jù)，也可以選擇從媒介讀取數(shù)據(jù)。在這里我選擇了默認設置，也就是從網(wǎng)絡復制數(shù)據(jù)，如下圖（15）所示。圖（15）點擊Next

17、，指定那一臺源域控制器將作為安裝時復制數(shù)據(jù)的復制伙伴，通常我們可以指定中央站點的可讀寫的Windows Server 2008的橋頭服務器。在這里，我指定Sea-DC1。如下圖（16）所示。圖（16）后面的步驟非常簡單，我就不在一一解釋了。如下圖（17）圖（19）所示。圖（17）  圖（18） 圖（19） 完成安裝以后，重新啟動Sea-svr1這臺計算機并用contosoadministrator進行登錄。打開Active Directory Users and Computers，展開Computers容器，發(fā)現(xiàn)Sea-Svr1顯示為一臺RODC。如下

18、圖（20）所示。 圖（20）選擇，右擊選擇Change Domain Controller，選擇。這樣我們就連接到了Sea-svr1這臺RODC上了。如下圖（21）所示。 圖（21）然后嘗試在組織單位Sales下右擊，可以發(fā)現(xiàn)根本沒有新建對象的選擇。如下圖（22）所示。圖（22）重新選擇，右擊選擇Change Domain Controller，選擇。創(chuàng)建用于后面密碼復制策略和管理角色分離實驗中用到的全局安全組Sales Admins。如下圖（23）、（24）所示。圖（23） 圖（24）將Alice Mutten用戶賬戶從Users容器移動回組織單位Sales并添

19、加作為Sales Admins組的成員。如下圖（25）、（26）所示。 圖（25） 圖（26） 下面我們將配置密碼復制策略。點擊Domain Controllers組織單位，打開Sea-svr1計算機賬戶的屬性，如下圖（27）所示。圖（27）點擊Password Replication Policy選項卡。如下圖（28）所示。圖（28） 從圖(28)中點擊Advanced，將打開圖（29）所示的畫面。圖（29）從圖（29）可以看出，除了RODC自身的計算機賬戶和Kerberos 票據(jù)授權票 (KRBTGT)賬戶之外，確實默認情況下沒有緩存任何賬戶的密碼。

20、  更改選項，選擇Accounts that have been authenticated to this Read-Only Domain Controller,可以看出它把曾經(jīng)找RODC進行身份驗證的用戶Administrator列出來了(通過這個列表其實可以幫助您來確定哪些賬戶的密碼應該允許此RODC進行緩存)。如下圖(30)所示。圖（30）點擊Close，添加Sales Admins組，設置為Allow。這樣Sales Admins組的成員的密碼將可以被Sea-svr1這臺RODC緩存。設置步驟如下圖（31）、（32）所示。圖（31）圖（32） 再次點擊

21、Advanced，選擇Resultant Policy選項卡。添加Alice Mutten 和 Bob Smith兩個賬戶，可以發(fā)現(xiàn)ADDS將自動檢查這兩個賬戶的密碼復制策略設置是什么。如下圖（33）所示。 圖（33） 在Sea-svr1這臺RODC上點擊注銷，重新以Alice mutten進行登陸。如下圖（34）所示。 圖（34） 使用whoami命令查看Alice Mutten的令牌中組的成員信息。如下圖（35）所示。圖（35）從圖中可以看出Alice Mutten是Sea-svr1這臺RODC的本地管理員的成員。其實這是我們在安裝Sea-svr1這

22、臺RODC的時候指定的設置。 從Sea-DC1上打開Active Directory Users and Computers，打開Sea-svr1的屬性，選擇Password Replication Policy，點擊Advanced?？梢钥吹紸lice Mutten的密碼已經(jīng)被Sea-svr1緩存了下來。如下圖（36）所示。圖（36）更改選項，選擇Accounts that have been authenticated to this Read-Only Domain Controller,可以看出它列出了Administrator和Alice Mutten。如下圖（37）所示。

23、圖（37）其實您也可以在用戶沒有找RODC進行身份驗證的時候手動的把賬戶的密碼復制到RODC上，當然該賬戶依然要滿足密碼復制策略的設置。否則手動復制是不能進行的。 下面我把Bob Smith賬戶也加入Sales Admins 組，如下圖（38）所示。圖（38）打開Sea-svr1的屬性，選擇Password Replication Policy，點擊Advanced。點擊Prepopulate Passwords。如下圖（39）所示。圖（39）添加Bob Smith，如下圖（40）所示。圖（40） 在這里，請注意一下，如果您希望在沒有可讀寫DC可用的情況下，用戶依然可以通過RODC登陸，則用戶賬戶的密碼和用戶登陸的計算機賬戶的密碼都必須存儲在RODC上。也就是說您除了要添加Bob Smi