Windows Server 2016-部署RODC只讀域控制器
架構圖:
RODC優點:
1.只讀Active Directory活動目錄數據庫,可降低因物理安全因素帶來的網絡安全威脅;
2.降低了網絡之間復制負載,更有效的訪問網絡資源;
3.憑據緩存。可加速分支用戶登錄驗證速度,降低系統在遭到破壞時受影響用戶範圍等(憑據緩存是用戶或者計算機憑據的儲存器。憑據是由和安全主體關聯的一小組大約接近10個密碼的集合所組成。在默認情況下RODC不儲存用戶或者計算機憑據。例外的情況是RODC自身的計算機賬戶以及每臺RODC所有的特殊的krbtgt賬戶。你在RODC上必須顯示允許其它任何憑據緩存。
);
4.管理員角色權限分隔。可降低因分支管理員權限過大對整個活動目錄的威脅;
5.只讀DNS。可選擇性安裝DNS服務,安裝並同步DNS信息後可加快分支機構上網的響應時間,但不會做動態更新,所有更新都是可讀寫域控制器DNS單向同步到RODC DNS服務器。
RODC缺點:
1.默認RODC不存儲用戶密碼,如可讀寫域控出現問題,用戶驗證會出現異常錯誤。
2.RODC對可讀寫域控依賴性太強,如同步的可讀寫域控出現問題將直接影響RODC使用。
部署RODC的先決條件:
1.至少環境中需要一臺Windows server 2008域控制器;
2.林功能級別需要是Windows server 2003或以上級別;
3.PDC(PDC Emulator)角色必須允許在Windows server 2008上;
4.整個環境中需要存在正常可讀寫的域控制器;
角色 | 主機名 | IP地址 |
主域控 | Major.azureyun.local | 192.168.156.1 |
只讀域控(RODC) | BRODC.azureyun.local | 192.168.156.3 |
一:部署只讀域控制器:
1.設置主機名及靜態IP地址,指定主域控地址為首選DNS服務器地址:
2.通過命令行加域並重啟該服務器:
netdom join %computername% /d:azureyun.local /userd:azureyun.local\administrator /passwordd:abc.123!
3.如果有需要,記得關閉防火墻:
4.添加域服務角色過程省略,直接開始正文,選擇"將域控制器添加到現有域",下一步繼續:
5.勾選"域名系統(DNS)服務器""全局編錄(GC)""只讀域控制器(RODC)"並輸入目錄還原模式密碼,單擊下一步繼續:
6.選擇是否將密碼復制到RODC的賬戶,建議不同步域管理員組、系統、服務架構等組密碼復制,這裏可自行設置,選擇下一步繼續:
7.選擇從哪裏同步復制:
8.指定AD DS數據庫、日誌文件和SYSVOL的日誌存放位置:
9.確認已配置信息,點擊下一步繼續:
這裏我們也可以通過Powershell命令安裝RODC,命令如下:
#安裝azureyun.local 只讀域控RODC腳本 Import-Module ADDSDeployment Install-ADDSDomainController ` -AllowPasswordReplicationAccountName @("AZUREYUN\Allowed RODC Password Replication Group") ` -NoGlobalCatalog:$false ` -CriticalReplicationOnly:$false ` -DatabasePath "C:\Windows\NTDS" ` -DenyPasswordReplicationAccountName @("BUILTIN\Administrators", "BUILTIN\Server Operators", "BUILTIN\Backup Operators", "BUILTIN\Account Operators", "AZUREYUN\Denied RODC Password Replication Group") ` -DomainName "azureyun.local" ` -InstallDns:$true ` -LogPath "C:\Windows\NTDS" ` -NoRebootOnCompletion:$false ` -ReadOnlyReplica:$true ` -SiteName "Default-First-Site-Name" ` -SysvolPath "C:\Windows\SYSVOL" ` -Force:$true
10.先決條件檢查無問題時,點擊"安裝"繼續:
11.RODC域控制器配置成功,點擊關閉完成配置:
12.根據提示重啟服務器完成配置:
二、驗證RODC:
1.查看Active Directory用戶和計算機下Domain Controllers有關BRODC的DC類型為"只讀,GC":
2.查看Active Directory用戶和計算機有關域控制器相關信息:
2.1. Active Directory用戶和計算機下右鍵"更改域控制器":
2.2.選擇更改目錄服務器,此時選擇此域控制器或AD LDS實例 為RODC:
2.3.提醒選定只讀域控制器,這裏默認選擇"確定"繼續:
3.此時我們發現快捷菜單欄有關新建用戶、新建組、新建組織單位等都是灰色無法點擊:
4.此時我們發現右鍵屬性包括所有任務欄都沒有新建用戶、組織單位等按鈕:
5.此時我們想通過右鍵委派權限的時候:
會提示我們沒有權限寫入此對象的安全信息:
6.此時我們想提升域功能級別的時候,發現我們沒有權限提升:
7.在操作主機RID、PDC、基礎結構選項均無法點擊"更改"按鈕,無法更改。
7.通過dsquery server命令查看站點信息如下:
RODC域控制器部署完成。
Windows Server 2016-部署RODC只讀域控制器