只读域控制器在Server Core中的部署

来源:互联网 发布:sql on hadoop架构 编辑:程序博客网 时间:2024/03/29 16:37
    只读域控制器 (RODC) 是 Windows Server® 2008 操作系统中的一种新类型的域控制器。借助RODC,组织可以在无法保证物理安全性的位置中轻松部署域控制器。RODC 承载 Active Directory(R) 域服务 (AD DS)数据库的只读分区。
     在 Windows Server 2008 发布之前,如果用户必须通过广域网 (WAN)对域控制器进行身份验证,则没有合适的替代方案。在许多情况下,这不是一个有效的解决方案。分支机构通常不能为可写域控制器提供所需的充分的物理安全性。此外,当分支机构连接到中心站点时,其网络带宽状况通常较差。这可能增加登录所需的时间。它还可能妨碍对网络资源的访问。
     从 Windows Server 2008 开始,组织可以部署 RODC 来解决这些问题。因此,用户在此情况下可以获得以下好处:
     •提高的安全性
     •更快的登录速度
     •更有效地访问网络上的资源
      部署 RODC 的先决条件如下所示:
     •RODC 必须将身份验证请求转发到运行 Windows Server 2008 的可写域控制器。在此域控制器上设置了密码复制策略,以确定是否为从 RODC 转发的请求将凭据复制到分支位置。
     •域功能性的级别必须是 Windows Server 2003 或更高版本,以便可以使用 Kerberos 受限制的委派。受限制的委派用于必须在调用方的上下文中模拟的安全调用。
     •林功能性的级别必须是 Windows Server 2003 或更高版本,以便可以使用链接值复制。这提供了更高级别的复制一致性。
     •在林中必须运行一次 adprep /rodcprep 以更新在林中的所有 DNS 应用程序目录分区上的权限。以此方式,作为 DNS 服务器的所有 RODC 都将可以成功复制权限。
     [以上内容转自微软官网] AD DS:只读域控制器
    在满足上面的先决条件后,现在开始进行只读域控制器在ServerCore中的部署,本实验的环境为:单森林单域、1台2008域控制器,准备将Server Core加入到现有环境中,并且提升为只读域控制器。以下大部分操作将在Server Core中进行...
     登录安装好的08 Server Core机器,首先来将机器改个名字,在命令提示符下输入“set c”或者“hostname”可以看到目前的计算机名称,然后使用netdom renamecomputer将计算机改名,具体见下图:
     1
 
     更名成功重启回来之后,现在要为ServerCore配置一下IP地址,配置之前先查看一下本地连接的ID号,因为呆会修改IP配置会用到ID号,在命令提示符下输入 netshinterface ipv4 show interface,从下图可以看到本地连接的ID为2。
      2
 
       确认ID之后,现在开始修改本地连接的IP配置,具体命令见下图:
      3
 
   添加完IP地址后还需为本地连接配置一下DNS,具体命令见下图:
      4 
 
   配置好之后使用ipconfig /all查看一下...
      5
 
      在确认IP配置信息无误后,执行下面命令将Server Core加入现有活动目录域中,具体见下图:
      6
 
   登录到现有的08域控制器中使用ADUC查看一下Server Core是否正常加入域...,从下图的Computers容器中可以看到已经加入一台名字为rodc的机器。
      7
 
      待Server Core加域成功重启之后,登录进去,在命令提示符下面输入notepad打开记事本编辑器,输入如下图内容创建只读域控制器的应答安装文件,然后保存为unattend.txt。
      8
 
      untitled
 
   应答文件创建好之后,现在就可以开始将Server Core提升成只读域控制器了,在命令行提示符下输入 dcpromo/unattend:"c:/unattend.txt" 后会开启提升过程,根据应答文件中的内容,提升成功后会自动重启计算机,见下图:
       9
 
       回到第一台2008域控制器上打开ADUC查看一下结果,从下图Domain Controllers容器中可以看到已经增加了一个计算机名称为rodc的域控制器,并且它的DC类型为:只读,DC 。
      10
 
      经过上面的操作后,只读域控制器在Server Core中的部署已经完成,如果我们想将AD帐户的密码复制到RODC,可以在ADUC中打开RODC的属性,切换到“密码复制策略”选项卡中进行添加操作,见下图:
     12

本文出自 “叶俊坚” 博客,请务必保留此出处http://yejunjian.blog.51cto.com/718462/144716

原创粉丝点击