Win2008 R2实战之只读域控制器部署(图)

  • 项目

作者:张伟日期:2010-05-28

  近日,Contoso公司在广州又设立了一个分支办公室,拥有大约40名工作人员,但为了节省运营成本,只申请了一条2M的ADSL进行互联网应用和与总部数据通信。由于广州办广域网链路速度慢、不可靠,而且没有专业的IT技术人员进行维护,服务器的物理安全也得不到保障,但是这40人每日的都与总部的域控制器进行身份验证和Internet访问查询的话,工作效率必将大大折扣。于是,经过IT部门讨论,他们决定在广州办部署Windows Server 2008 R2作为只读域控制器来简化IT技术人员的工作,提高广州办的办公效率,同时也可以提高广州办网络环境的的安全性。

一、 什么是只读域控制器(Read-Only Domain Controller)

  RODC是Windows Server 2008 新引入的一个活动目录特性,与其他域控制器一样,RODC也包含AD数据库,但除了本地管理员和RODC账户,RODC默认不保存域用户账户密码,并且RODC中包含的数据库也是只读的。RODC只能单向的从其他可读写域控制器请求信息,而不会把任何修改传送给其他可写域控制器,这样做不仅可以降低桥头服务器的工作负载及监控负载的工作量,还可以提高分支机构网络的安全性,同时便于管理。

二、 RODC在Contoso公司应用的好

  只读活动目录服务可以降低因物理安全因素带来的网络安全威胁。

  降低了网络之间复制的负载。

  缓存凭证可以加速分支用户使用域服务的速度,降低了系统在遭到破坏时暴露的用户信息的数量。

  独立并有限的管理权限,可降低分支机构管理员权限过大对活动目录的威胁。

  只读DNS可以加快分支机构访问Internet的响应时间,但不会做动态更新,如果分支机构向要更新记录信息,RODC会向可读写域控制器的DNS发送一个DNS复制单个对象的改动请求,可读写的DNS响应这个请求后,会把改动通过单向复制传回RODC。

三、 部署RODC的先决条件

  1. 森林功能级别需要是Windows 2003或以上级别。

  2. 域内需要至少一个Windows 2008域控制器,作为RODC的复制伙伴。

  3. PDC角色必须允许在Windows 2008上。

  4. 活动目录内需要存在正常可读写的域控制器。

四、 部署RODC

  环境拓扑:如图1
 

图1

  注意:由于RODC的只读特性带来的限制,RODC不能作为桥头服务器,因为桥头服务器必须支持双向复制。

  1. 为RODC创建预安装计算机账户,然后将RODC的安装及管理权限委派给一个普通域用户,这样做简化了异地RODC的安装步骤,也避免了以传统方式创建域控制器时,敏感信息的泄露。

  2. 打开【Active Directory 用户和计算机】,打开【Contoso.com】域,右击【Domain Controllers】OU,选择【预创建只读域控制器账户】,如图2
 

图2

  3. 此时将会调用AD域服务安装向导,导航至【指定计算机名称】,输入只读域控制器的计算机名【RODC1】,如图3
 

图3

  4. 在选择站点页面,选择只读域控制器所在站点【south】。如图4
 

图4

  5. 在其他域控制器选项中,可设置是否安装DNS和全局编录,但RODC选项已经默认选中,并不可取消。如图5
 

图5

  6. 在RODC安装和管理委派页中,可以指定一个普通域用户作为只读域控制器的管理员,这里我委派一个名为【RODCadmin】的域用户来管理只读域控制器。如图6
 

图6

  7. 检查一下配置汇总,没有问题,既完成了RODC计算机账户的创建。

  8. 使用具有域管理员权限的用户登录到RODC服务器中,安装好AD DS角色,运行【DCPROMO】命令,进行域控制器的安装。

  注意:此时的RODC服务器必须处于工作组状态,与活动目录无关。

  9. 在域服务安装向导网络凭据中,键入当前域名称【contoso.com】,在备用凭据中指定RODC的管理员用户【RODCadmin】。如图7
 

图7

  10. 确定2次警告信息,如图8、9
 

图8
 

图9

  11. 确认AD的数据库、日志及sysvol的存储位置,目录还原密码,查看摘要信息没有问题,即可开始AD DS的安装。如图10
 

图10

五、RODC的配置

  在部署完只读域控制器后,需要在可读写的复制伙伴域控制器配置密码复制策略,也就是凭证缓存,用来提高使用RODC的用户的访问体验。

  密码复制策略可以被看成是RODC的访问控制列表,用来控制RODC是否缓存用户账户密码,缓存谁的密码,拒绝缓存哪些账户的密码。例如,域管理员可以事先指定RODC允许缓存的用户账户或者计算机账户,这样即使广州办的WAN链接断开,RODC也依然可以对这些账户进行身份验证。

  在Windows Server 2008的AD域中引入了两个新的内置组来支持RODC的操作,这两个组是:【允许RODC密码复制组】和【拒绝RODC密码复制组】。默认情况下,允许RODC密码复制组不包含任何成员,但拒绝RODC密码复制组则包含下列成员:

  " 企业域控制器

  " 企业只读域控制器

  " 组策略创建者所有者

  " Domain Admins

  " 证书发行者

  " Enterprise Admins

  " Schema Admins

  " 域范围 krbtgt 帐户

  例如,可以在将广州办所有的计算机和常用用户账户加入到【允许RODC密码复制组】中。不过需要注意的是,存在于【拒绝RODC密码复制组】中的账户优先级要高于【允许RODC密码复制组】中的用户。

  如果关闭RODC或者关机,则刷新RODC上的缓存并且缓存中的对象不再可用,直到RODC反向链接到网络上的全局目录服务器。

  通过RODC的部署,Contoso公司使用Windows Server 2008 R2为广州办的提供了稳定,快速,高效的身份验证机制,同时兼顾了物理安全、网络安全,降低了服务器管理方面的难度。

  正当小赵部署配置完RODC,以为万事大吉的时候,经理走过来说:现在广州办还没有专业的机房,RODC的服务器就放在办公室里,万一被盗,那硬盘里的公司信息怎么办?小赵一听,陷入了沉思。其实解决这个问题的办法就藏在Windows Server 2008 R2中,请听下回分解:强大的磁盘保护系统,Bitlocker。