部署windows server 2008只讀域控制器只讀域控制器 (RODC) 是 Windows Server? 2008 操作系統(tǒng)中的一種新類型的域控制器。借助 RODC ，組織可以在無法保證物

部署windows server 2008只讀域控制器

只讀域控制器 (RODC) 是 Windows Server? 2008 操作系統(tǒng)中的一種新類型的域控制器。借助 RODC ，組織可以在無法保證物理安全性的位置中輕松部署域控制器。RODC 承載 Active Directory(R) 域服務(wù) (AD DS) 數(shù)據(jù)庫(kù)的只讀分區(qū)。

RODC 的作用？

由于 RODC 是只讀的，并且其他域控制器不從其進(jìn)行復(fù)制，它們會(huì)出現(xiàn)一些異常的行為。例如，延遲對(duì)象（即，因?yàn)?DC 的復(fù)制時(shí)間不能長(zhǎng)于林的生存周期，所以除了特殊的 DC ，該類對(duì)象已從其他位置刪除）通常由 DC 的出站復(fù)制伙伴檢測(cè)。但是，由于 RODC 沒有入站復(fù)制伙伴，因而它們不會(huì)檢測(cè)延遲對(duì)象。 如果林中其他域的用戶試圖向 RODC 驗(yàn)證，RODC 必須能夠訪問其所在域的完全 DC 來獲取信任密碼，以便將驗(yàn)證請(qǐng)求正確傳遞給用戶域中的 DC 。如果在其域中 RODC 和完全 DC 之間的網(wǎng)絡(luò)連接不可用，驗(yàn)證將失敗。

RODC 提供了一種在要求快速、可靠的身份驗(yàn)證服務(wù)但不能確?？蓪懹蚩刂破鞯奈锢戆踩缘奈恢弥懈踩夭渴鹩蚩刂破鞯姆椒?。但是，您的組織也可選擇根據(jù)特殊管理要求部署 RODC 。例如，行業(yè) (LOB) 應(yīng)用程序只有在安裝在域控制器上的情況下，才可以成功運(yùn)行?；蛘?，域控制器可能是分支機(jī)構(gòu)中唯一的服務(wù)器，并且可能必須承載服務(wù)器應(yīng)用程序。在這種情況下，LOB 應(yīng)用程序的所有者必須經(jīng)常以交互方式登錄到域控制器，或使用終端服務(wù)配置和管理應(yīng)用程序。此情況產(chǎn)生了在可寫域控制器上可能無法接受的安全風(fēng)險(xiǎn)。

RODC 為在此方案中部署域控制器提供了更安全的機(jī)制。您可以向非管理域用戶授予登錄到 RODC 的權(quán)限，同時(shí)最小化 Active Directory 林的安全風(fēng)險(xiǎn)。還可以在其他方案中部署 RODC 。

下面我就來部署一下windows server 2008只讀域控制器，部署windows server 2008只讀域控制器我選擇了兩臺(tái)電腦，server1和server2，server 1 為DNS 服務(wù)器，windows2008.com 域控制器，IP ：192.168.1.10；ser ver2為只讀域控制器，IP ：192.168.1.11，DNS ：192.168.1.10

注意：兩臺(tái)電腦的操作系統(tǒng)必須是windows server 2008操作系統(tǒng)

一、查看林功能、與功能級(jí)別

在server1計(jì)算機(jī)上操作。要保證林功能、與功能的級(jí)別是windows server 2003或windows server2003以上的級(jí)別。關(guān)于域的功能級(jí)別，可以參考這篇文章http://blog.chinaunix.net/u1/37091/sh

如圖打開“活動(dòng)目錄域和信任關(guān)系”

右鍵單擊域windows2008.com ，選擇“屬性”

我們這里林功能、域功能的級(jí)別是windows server2008的，滿足要求了。

如果功能級(jí)別沒有達(dá)到要求，我們可以選擇“提升域功能級(jí)別”來提升級(jí)別。

二、復(fù)制文件“adprep”

接下來將我們將windows 2008 安裝光盤中sources?prep文件夾復(fù)制到架構(gòu)主機(jī)，也就是server2上

復(fù)制到server2的C 盤根目錄下就行

三、執(zhí)行adprep /rodcprep命令

在server2上操作。下面在CMD 命令下定位到復(fù)制過來的adprep 文件夾，輸入adprep /rodcprep命令。如圖成功執(zhí)行完成。運(yùn)行 adp rep /rodcprep命令來更新林中所有DNS 目錄分區(qū)上的權(quán)限，這樣才能允許，RODC 上的DNS 服務(wù)器從現(xiàn)有林中的DNS 復(fù)制

命令執(zhí)行完成后我們?cè)贑:Windows?bug?preplogs 090717231802 中的 ADPrep.log 可以看見相關(guān)的日志記錄

四、安裝只讀域控制器

同樣在只讀域控制器server2上進(jìn)行操作。我們?cè)陂_始運(yùn)行中輸入“Dcpromo”，然后回車

進(jìn)入活動(dòng)目錄域服務(wù)器安裝向?qū)c(diǎn)擊下一步?！案呒?jí)安全模式”，可以在安裝過程中配置密碼復(fù)制策略等，我們一般選擇普通安裝模式即可

下一步