部署windows server 2008只讀域控制器只讀域控制器 (RODC) 是 Windows Server? 2008 操作系統(tǒng)中的一種新類型的域控制器。借助 RODC ，組織可以在無法保證物

部署windows server 2008只讀域控制器

只讀域控制器 (RODC) 是 Windows Server? 2008 操作系統(tǒng)中的一種新類型的域控制器。借助 RODC ，組織可以在無法保證物理安全性的位置中輕松部署域控制器。RODC 承載 Active Directory(R) 域服務(wù) (AD DS) 數(shù)據(jù)庫的只讀分區(qū)。

RODC 的作用？

由于 RODC 是只讀的，并且其他域控制器不從其進行復制，它們會出現(xiàn)一些異常的行為。例如，延遲對象（即，因為 DC 的復制時間不能長于林的生存周期，所以除了特殊的 DC ，該類對象已從其他位置刪除）通常由 DC 的出站復制伙伴檢測。但是，由于 RODC 沒有入站復制伙伴，因而它們不會檢測延遲對象。 如果林中其他域的用戶試圖向 RODC 驗證，RODC 必須能夠訪問其所在域的完全 DC 來獲取信任密碼，以便將驗證請求正確傳遞給用戶域中的 DC 。如果在其域中 RODC 和完全 DC 之間的網(wǎng)絡(luò)連接不可用，驗證將失敗。

RODC 提供了一種在要求快速、可靠的身份驗證服務(wù)但不能確?？蓪懹蚩刂破鞯奈锢戆踩缘奈恢弥懈踩夭渴鹩蚩刂破鞯姆椒?。但是，您的組織也可選擇根據(jù)特殊管理要求部署 RODC 。例如，行業(yè) (LOB) 應(yīng)用程序只有在安裝在域控制器上的情況下，才可以成功運行?；蛘?，域控制器可能是分支機構(gòu)中唯一的服務(wù)器，并且可能必須承載服務(wù)器應(yīng)用程序。在這種情況下，LOB 應(yīng)用程序的所有者必須經(jīng)常以交互方式登錄到域控制器，或使用終端服務(wù)配置和管理應(yīng)用程序。此情況產(chǎn)生了在可寫域控制器上可能無法接受的安全風險。

RODC 為在此方案中部署域控制器提供了更安全的機制。您可以向非管理域用戶授予登錄到 RODC 的權(quán)限，同時最小化 Active Directory 林的安全風險。還可以在其他方案中部署 RODC 。

下面我就來部署一下windows server 2008只讀域控制器，部署windows server 2008只讀域控制器我選擇了兩臺電腦，server1和server2，server 1 為DNS 服務(wù)器，windows2008.com 域控制器，IP ：192.168.1.10；ser ver2為只讀域控制器，IP ：192.168.1.11，DNS ：192.168.1.10

注意：兩臺電腦的操作系統(tǒng)必須是windows server 2008操作系統(tǒng)

一、查看林功能、與功能級別

在server1計算機上操作。要保證林功能、與功能的級別是windows server 2003或windows server2003以上的級別。關(guān)于域的功能級別，可以參考這篇文章http://blog.chinaunix.net/u1/37091/sh

如圖打開“活動目錄域和信任關(guān)系”

右鍵單擊域windows2008.com ，選擇“屬性”

我們這里林功能、域功能的級別是windows server2008的，滿足要求了。

如果功能級別沒有達到要求，我們可以選擇“提升域功能級別”來提升級別。

二、復制文件“adprep”

接下來將我們將windows 2008 安裝光盤中sources?prep文件夾復制到架構(gòu)主機，也就是server2上

復制到server2的C 盤根目錄下就行

三、執(zhí)行adprep /rodcprep命令

在server2上操作。下面在CMD 命令下定位到復制過來的adprep 文件夾，輸入adprep /rodcprep命令。如圖成功執(zhí)行完成。運行 adp rep /rodcprep命令來更新林中所有DNS 目錄分區(qū)上的權(quán)限，這樣才能允許，RODC 上的DNS 服務(wù)器從現(xiàn)有林中的DNS 復制

命令執(zhí)行完成后我們在C:Windows?bug?preplogs 090717231802 中的 ADPrep.log 可以看見相關(guān)的日志記錄

四、安裝只讀域控制器

同樣在只讀域控制器server2上進行操作。我們在開始運行中輸入“Dcpromo”，然后回車

進入活動目錄域服務(wù)器安裝向?qū)c擊下一步?！案呒壈踩Ｊ健?，可以在安裝過程中配置密碼復制策略等，我們一般選擇普通安裝模式即可

下一步