mportant;">1.RODC名词解释
RODC(Read-only Directory Controller)只读域控制器。这是Server 2008 新增的一种域控制器,顾名思义,它的AD(Active Directory)活动目录数据库只可以读取,不可以被修改,即用户和应用程序无法直接更改RODC的Active Directory数据库。RODC的Active Directory数据库的数据只能从其它可写域控制器复制过来。
2.RODC适用的环境和人群
RODC的设计主要用来给远程分支办公室使用,即那些分公司规模比较少,工作人员较少,安全设施也不完善,又缺少专业网络工程师,但是有必须经常查看总公司的信息情况下搭建RODC。使用人群:一般的域用户即可。
3.RODC的必然性
现有社会全球经济一体化的情况下,公司不可避免的因为扩展业务等原因在其它地区建立分之办公室。这些分之办公室有些需要投入大量的人力和物力,而有些只需少量的工作人员即可完成工作目标,但是无法避免的需要访问总公司的域控制器和提供本地区的DNS解析等。所以此时搭建RODC就可以很好的解决该问题,即节省成本又能完成工作何乐不为!!
4.搭建RODC
注:虚拟机使用VPC ,总公司虚拟机使用Server 2008 IP:10.1.1.1 子网掩码:255.0.0.0 DNS:10.1.1.1活动目录(AD)域名为contoso.com。远程分支办公室必须用用Server 2008服务器。首先远程办公室计算机设置IP:10.1.1.2 子网掩码:255.0.0.0 首选DNS:10.1.1.1(如下图)
然后加入contoso.com域,前提两个服务器的网卡都为Local only。方法:在远程分支办公室上我的电脑“属性”---计算机名---更改(C)---在隶属于域中输入contoso.com---然后点击“确定”按钮---输入与管理员账户和密码。如下图:
!!注意:
1.安装RODC域控制器之前,必须将总公司的域控制器的与功能级别和林功能级别提升至Windows" data-pretit="windows" style="box-sizing: border-box; outline: 0px; margin: 0px 3px 0px 0px; padding: 0px 18px 0px 0px; font-synthesis-style: auto; overflow-wrap: break-word; cursor: pointer; background: url("../img/gitcode-key.png") right center / 14px 14px no-repeat transparent; box-shadow: none; color: #4EA1DB !important;">Windows Server 2003或以上。
方法:在总公司Server 2008上的域控制器上打开“开始”菜单---管理工具---Active Directoy 域和信任关系。右击contoso.com---提升与功能级别之Windows Sever 2003或以上,如下图:
右击Active Directoy 域和信任关系提升林功能级别至Windows Sever 2003或以上,如下图:
然后在远程分支办公室Server 2008服务器上运行命令dcpromo.exe,如下图显示,为了显示RODC的功能,我们使用高级模式安装。
点击“下一步(N)”显示操作系统兼容性---直接进行“下一步”如下图选择现有林中的域控制器
点击“下一步(N)”输入总公司的域名称contoso.com---然后输入总公司的与管理账户即密码作为凭证
点击“下一步(N)”,在选择一个域选项中选择contoso.com(林根域)
点击“下一步(N)”,
选择站点,单击“下一步”
选择域控制器选项,选中“只读域控制器(RODC)”,单击“下一步”
根据企业情况,选择密码复制策略,我这里保持默认状态。单击“下一步”
选择用于RODC安装和管理的委派,添加事先在总公司的AD中建立一个名叫RODC的组!单击“下一步”
选择安装的介质,在这里选择从网络复制。如果网络不可用或者带宽很小的收获可以采用从存储介质中复制。单击“下一步”
选择源域控制器,这里采用默认,让向导选择一个合适的域控制器。单击“下一步”
选择数据库、日志文件和SYSVOL的位置。单击“下一步”
设置还原模式密码。单击“下一步”
查看摘要,也可在此步骤中导出设置,用于自动应答。单击“下一步”
然后经过等待安装就OK!!!
完成AD域服务安装向导,然后重启即可完成安装RODC的工作。
当你在总公司的域控制器上可以查看到如下图显示的内容!
5.RODC的功能
a.只读的Active Directory 数据库副本除了账户密码。即远程分公司内的用户和应用程序读取Active Directory数据库对象是,可以通过RODC来迅速获取。
b.单向复制:即总公司的AD向RODC复制,而RODC不可以向总公司的AD复制信息。
c.认证缓存:RODC在验证用户密码时,仍需要将它们送到总公司的可写域控制器来验证。为了加快验证速度,可以将用户的密码存储到RODC的认证缓存区。
d.系统管理员隔离:即可以将RODC的管理工作分配给任一域用户,此用户可以在该RODC这台域控制器上登录。
e.只读域名系统:即在RODC上架设DNS,此DNS可以用来提供分支办公室的查询工作,但是不支持客户端直接进行动态更新。
6.RODC带来的好处和便利
首先最重要的一点就是安全,其次是节省了公司大量的人力和物力,另外加快了分支办公室的用户的访问速度。
本文链接:https://www.kinber.cn/post/3991.html 转载需授权!
推荐本站淘宝优惠价购买喜欢的宝贝: