近日,Contoso公司在廣州又設立了一個分支辦公室,擁有大約40名工作人員,但爲了節省運營成本,只申請了一條2M的ADSL進行互聯網應用和與總部數據通信。由於廣州辦廣域網鏈路速度慢、不可靠,而且沒有專業的IT技術人員進行維護,服務器的物理安全也得不到保障,但是這40人每日的都與總部的域控制器進行身份驗證和Internet訪問查詢的話,工作效率必將大大折扣。於是,經過IT部門討論,他們決定在廣州辦部署Windows Server 2008 R2作爲只讀域控制器來簡化IT技術人員的工作,提高廣州辦的辦公效率,同時也可以提高廣州辦網絡環境的的安全性。
一、 什麼是隻讀域控制器(Read-Only Domain Controller)
RODC是Windows Server 2008 新引入的一個活動目錄特性,與其他域控制器一樣,RODC也包含AD數據庫,但除了本地管理員和RODC賬戶,RODC默認不保存域用戶賬戶密碼,並且RODC中包含的數據庫也是隻讀的。RODC只能單向的從其他可讀寫域控制器請求信息,而不會把任何修改傳送給其他可寫域控制器,這樣做不僅可以降低橋頭服務器的工作負載及監控負載的工作量,還可以提高分支機構網絡的安全性,同時便於管理。
二、 RODC在Contoso公司應用的好處
只讀活動目錄服務可以降低因物理安全因素帶來的網絡安全威脅。
降低了網絡之間複製的負載。
緩存憑證可以加速分支用戶使用域服務的速度,降低了系統在遭到破壞時暴露的用戶信息的數量。
獨立並有限的管理權限,可降低分支機構管理員權限過大對活動目錄的威脅。
只讀DNS可以加快分支機構訪問Internet的響應時間,但不會做動態更新,如果分支機構向要更新記錄信息,RODC會向可讀寫域控制器的DNS發送一個DNS複製單個對象的改動請求,可讀寫的DNS響應這個請求後,會把改動通過單向複製傳回RODC。
三、 部署RODC的先決條件
1. 森林功能級別需要是Windows 2003或以上級別。
2. 域內需要至少一個Windows 2008域控制器,作爲RODC的複製夥伴。
3. PDC角色必須允許在Windows 2008上。
4. 活動目錄內需要存在正常可讀寫的域控制器。
四、 部署RODC
環境拓撲:如圖1
圖1
注意:由於RODC的只讀特性帶來的限制,RODC不能作爲橋頭服務器,因爲橋頭服務器必須支持雙向複製。
1. 爲RODC創建預安裝計算機賬戶,然後將RODC的安裝及管理權限委派給一個普通域用戶,這樣做簡化了異地RODC的安裝步驟,也避免了以傳統方式創建域控制器時,敏感信息的泄露。
2. 打開【Active Directory 用戶和計算機】,打開【Contoso.com】域,右擊【Domain Controllers】OU,選擇【預創建只讀域控制器賬戶】,如圖2
圖2
3. 此時將會調用AD域服務安裝嚮導,導航至【指定計算機名稱】,輸入只讀域控制器的計算機名【RODC1】,如圖3
圖3
4. 在選擇站點頁面,選擇只讀域控制器所在站點【south】。如圖4
圖4
5. 在其他域控制器選項中,可設置是否安裝DNS和全局編錄,但RODC選項已經默認選中,並不可取消。如圖5
圖5
6. 在RODC安裝和管理委派頁中,可以指定一個普通域用戶作爲只讀域控制器的管理員,這裏我委派一個名爲【RODCadmin】的域用戶來管理只讀域控制器。如圖6
圖6
7. 檢查一下配置彙總,沒有問題,既完成了RODC計算機賬戶的創建。
8. 使用具有域管理員權限的用戶登錄到RODC服務器中,安裝好AD DS角色,運行【DCPROMO】命令,進行域控制器的安裝。
注意:此時的RODC服務器必須處於工作組狀態,與活動目錄無關。
9. 在域服務安裝嚮導網絡憑據中,鍵入當前域名稱【contoso.com】,在備用憑據中指定RODC的管理員用戶【RODCadmin】。如圖7
圖7
10. 確定2次警告信息,如圖8、9
圖8
圖9
11. 確認AD的數據庫、日誌及sysvol的存儲位置,目錄還原密碼,查看摘要信息沒有問題,即可開始AD DS的安裝。如圖10
圖10
五、RODC的配置
在部署完只讀域控制器後,需要在可讀寫的複製夥伴域控制器配置密碼複製策略,也就是憑證緩存,用來提高使用RODC的用戶的訪問體驗。
密碼複製策略可以被看成是RODC的訪問控制列表,用來控制RODC是否緩存用戶賬戶密碼,緩存誰的密碼,拒絕緩存哪些賬戶的密碼。例如,域管理員可以事先指定RODC允許緩存的用戶賬戶或者計算機賬戶,這樣即使廣州辦的WAN鏈接斷開,RODC也依然可以對這些賬戶進行身份驗證。
在Windows Server 2008的AD域中引入了兩個新的內置組來支持RODC的操作,這兩個組是:【允許RODC密碼複製組】和【拒絕RODC密碼複製組】。默認情況下,允許RODC密碼複製組不包含任何成員,但拒絕RODC密碼複製組則包含下列成員:
" 企業域控制器
" 企業只讀域控制器
" 組策略創建者所有者
" Domain Admins
" 證書發行者
" Enterprise Admins
" Schema Admins
" 域範圍 krbtgt 帳戶
例如,可以在將廣州辦所有的計算機和常用用戶賬戶加入到【允許RODC密碼複製組】中。不過需要注意的是,存在於【拒絕RODC密碼複製組】中的賬戶優先級要高於【允許RODC密碼複製組】中的用戶。
如果關閉RODC或者關機,則刷新RODC上的緩存並且緩存中的對象不再可用,直到RODC反向鏈接到網絡上的全局目錄服務器。
通過RODC的部署,Contoso公司使用Windows Server 2008 R2爲廣州辦的提供了穩定,快速,高效的身份驗證機制,同時兼顧了物理安全、網絡安全,降低了服務器管理方面的難度。
正當小趙部署配置完RODC,以爲萬事大吉的時候,經理走過來說:現在廣州辦還沒有專業的機房,RODC的服務器就放在辦公室裏,萬一被盜,那硬盤裏的公司信息怎麼辦?小趙一聽,陷入了沉思。其實解決這個問題的辦法就藏在Windows Server 2008 R2中,請聽下回分解:強大的磁盤保護系統,Bitlocker。