在內(nèi)網(wǎng)中如果部署了多臺普通域控,彼此之間是可以雙向復(fù)制Active Directory數(shù)據(jù)庫的,這樣可以實現(xiàn)數(shù)據(jù)的高可用性。但是,RODC的管理員沒有權(quán)限對活動目錄數(shù)據(jù)庫進行更改操作,只能從正常域控到RODC的單向復(fù)制動作。RODC是特殊的類型的域控,擁有AD DS域服務(wù)所有的對象和屬性,在默認情況下,RODC不會存儲賬戶密碼,這可以有效提高分支機構(gòu)的安全性。
但是這也顯示了RODC的脆弱性,一旦正常域控出現(xiàn)問題,RODC將無法借此執(zhí)行賬戶驗證操作。在RODC上是可以安裝DNS服務(wù)的,并且可以復(fù)制和DNS相關(guān)的所有應(yīng)用程序目錄分區(qū)中的數(shù)據(jù),從而實現(xiàn)DNS解析功能。但是,它并不支持客戶端直接更新DNS記錄操作,所以RODC無法獲取Active Directoy集成區(qū)域中注冊的任何名稱記錄信息。對于普通的域賬戶來說,是可以成為RODC管理員的,可以在RODC所在的分支機構(gòu)執(zhí)行各種管理任務(wù)。RODC雖然可以當(dāng)做全局編錄服務(wù)器,但是卻不能安裝操作主機角色。
對于RODC來說,密碼復(fù)制策略是很重要的,它可以將正常域控上的賬戶密碼信息緩存到RODC中,該策略決定哪些賬戶允許緩存哪些不允許緩存。但是,域控管理員可以單獨指定允許緩存的賬戶信息。在主域控上打開Active Directory用戶和計算機窗口,在左側(cè)選擇“Users”容器,雙擊右側(cè)的“Allowed RODC Password Replication Group”組,在屬性窗口中的“成員”面板中顯示允許緩存的賬戶列表,默認為空。如果在該組中添加賬戶,必須將對應(yīng)賬戶以及使用的計算機賬戶一并添加進來。
雙 擊“Denied RODC Password Replication group”組,在屬性窗口中的“成員”面板中顯示禁止緩存的賬戶信息,默認包括Domain Admins、Enterprise Admins、Schema Admins、Cert Publishings等。密碼緩存策略支持不緩存任何賬戶、緩存大多數(shù)賬戶、緩存少量賬戶等模式。第一種模式安全性最高,除了RODC本身的計算機賬戶和Krbtgt賬戶外,不會有別的賬戶密碼緩存到RODC中。Krbtgt賬戶是特殊的Kerberos票據(jù)授權(quán)賬戶,正常域控利用該賬戶來驗證RODC的身份。
第二種模式比較適用于較為安全的分支機構(gòu)環(huán)境,可以將大多數(shù)的賬戶信息添加到允許列表中,但是不允許添加類似于Doamin Admins之類的敏感賬戶。該模式提供了簡單的管理功能,允許在斷開和總部的鏈接后,讓緩存賬戶在RODC中順利登錄。第三種模式針對的是特定位置的RODC進行嚴格控制,讓每臺RODC只允許緩存一組特定的賬戶和計算機賬戶,并且允許脫機操作。當(dāng)緩存了RODC的賬戶信息后,這些信息將保存在RODC的活動目錄數(shù)據(jù)庫中,但是當(dāng)用戶更改了密碼后,對應(yīng)的緩存密碼將過期。如果更改了RODC的密碼復(fù)制策略,也會導(dǎo)致緩存密碼過期。
圖1 預(yù)創(chuàng)建RODC賬戶
在部署時,必須保證在域中存在至少一臺正常的域控,在其上必須包含PDC操作主機角色。PDC主機的主要作用是可以兼容低版本的域控,PDC所在的域控可以優(yōu)先成為主域控制器,擁有活動目錄數(shù)據(jù)庫優(yōu)先復(fù)制的權(quán)限,PDC主機可以充當(dāng)時間服務(wù)器的角色,域中的所有主機會和其進行對時。在使用組策略時,組策略編輯器會默認連接到PDC主機,防止組策略出現(xiàn)重復(fù)套用的情況。這里就以部署Windows Server 2012 只讀域控為例進行說明。
RODC部署分為兩步,首先由總部的域管理員創(chuàng)建RODC賬戶,之后再由分支機構(gòu)內(nèi)被委派的用戶為RODC服務(wù)器附加附加上述賬戶。在總部由域系統(tǒng)管理員(即Domain Admins組中的用戶)登錄到主域控上,在Active Directory用戶和計算機窗口選擇左側(cè)的“Domain Controllers”容器,在右鍵菜單上點擊“預(yù)創(chuàng)建只讀域控制器賬戶”項,在向?qū)Ы缑妫ㄈ鐖D1)中選擇“使用高級模式安裝”項,在下一步窗口中選擇“我的當(dāng)前登錄憑據(jù)”項,點擊下一步按鈕,在指定計算機名窗口中輸入RODC主機名稱及其DNS計算機全名。
在下一步窗口中選擇RODC域控所在的AD DS站名,點擊下一步按鈕,選擇“DNS服務(wù)器”和“全局編錄”項,在下一步窗口中執(zhí)行密碼復(fù)制策略,默認僅允許將“Allowed RODC Password Replication Group”組中的賬戶添加進來,該組默認為空??梢渣c擊“添加”按鈕,添加允許緩存的賬戶。點擊下一步按鈕,點擊“設(shè)置”按鈕,選擇所需的賬戶(例 如“xxxwpuser”),該賬戶被委派執(zhí)行后續(xù)的RODC域控安裝操作。點擊完成按鈕,完成第一步配置。
在分支機構(gòu)中登錄到將要成為RODC域控的主機,在服務(wù)器管理器中點擊“添加角色和功能”項,在向?qū)Ы缑嬷羞x擇安裝Active Directory域服務(wù)項,當(dāng)安裝完畢后,點擊“將此服務(wù)器提升為域控制器”鏈接,在向?qū)Ы缑妫ㄈ鐖D2)中選擇“將域控制器添加到現(xiàn)有域”項,輸入具體的域名(例如“xxx.com”),點擊“更改”按鈕,輸入上述委派的賬戶(例如“xxxwpuser”),點擊下一步,因為計算機賬戶已經(jīng)事先創(chuàng)建好,所以選擇“使用現(xiàn)有RODC賬戶”。輸入目錄服務(wù)還原模式(DSRM)密碼。點擊下一步,會直接從其他任何一臺域控上復(fù)制AD DS數(shù)據(jù)庫,之后依次點擊下一步,完成第二步安裝操作。本例中RODC的域名為“zdfz.xxx.com”。
圖2 在分支機構(gòu)安裝RODC域控
為了降低網(wǎng)絡(luò)負擔(dān),可以使用安裝介質(zhì)來快速復(fù)制Active Directory數(shù)據(jù)庫。方法是,以域管理員身份登錄到正常域控上,在命令提示符窗口中執(zhí)行“ntdsutil”命令,之后執(zhí)行“active instance ntds”命令,將域控的AD DS數(shù)據(jù)庫設(shè)置為使用中。依次執(zhí)行“ifm”,“create sysvol rodc c:adfolder”,“quit”,“quit”命令,制作供RODC使用的安裝介質(zhì),存儲位置為“c:adfolder”。 其 中的“sysvol”參數(shù)表示包含“ntds.dit”和SYSVOL的對象。將“c:adfolder”目錄的內(nèi)容復(fù)制到優(yōu)盤等介質(zhì)上,或者存儲到共享路徑中。在分支機構(gòu)中安裝RODC服務(wù)器,具體操作基本相同,所不同的是在安裝界面的“其他選項”窗口中需要選擇“從介質(zhì)安裝”項,點擊選擇按鈕,選擇上述安裝介質(zhì),就可以快速復(fù)制Active Directory數(shù)據(jù)庫了。
部署完RODC服務(wù)器后,在主域控上打開Active Directory用戶和計算機窗口,在左側(cè)選擇“Domain Controllers”容器,在右側(cè)顯示所有的域控信息,對于只讀域控,在“DC類型”列中會顯示“只讀,GC”之類的信息。如果在左側(cè)的域名節(jié)點上點擊右鍵,在彈出菜單上點擊“更改域控制器”項,在彈出窗口窗口中選擇“此域控制器會AD LDS實例”項,在列表中選擇上述名為“zdfz.xxx.com”的 RODC主機,系統(tǒng)會提示“選擇的域控制器是只讀域控制器,將不能執(zhí)行任何寫入操作”的信息。之后雖然可以連接到該RODC主機,但是所有的和寫操作相關(guān)的菜單項目均無法使用,例如執(zhí)行委派控制、提升域功能級別、更改操作主機、創(chuàng)建賬戶等動作均無法實現(xiàn)。
因為RODC域控本地的活動目錄數(shù)據(jù)庫默認為只讀屬性,不能存儲賬戶的密碼,為了管理上的便利,域管理員可以根據(jù)實際實際為分支機構(gòu)中的RODC服務(wù)器緩存對應(yīng)的賬戶密碼。以域管理員身份登錄主域控制器,在Active Directory用戶和計算機窗口左側(cè)選擇“Domain Controllers”容器,在右側(cè)選擇目標RODC域控,在屬性窗口(如圖3)中的“密碼輔助策略”面板中顯示默認的策略項目。
點擊“高級”按鈕,在打開窗口中的“策略使用率”面板中的“顯示滿足下列條件的用戶和計算機”列表中選擇“密碼已存儲在只讀域控制器中的賬戶”項,在“用戶和計算機”列表中顯示已經(jīng)發(fā)布的賬戶信息,該列表中的賬戶密碼是允許緩存到該RODC域控中的。RODC域控是無法直接創(chuàng)建賬戶的,域管理員必須先為之創(chuàng)建好所需的賬戶,之后發(fā)布到目標RODC域控上,該賬戶才可以在RODC上進行登錄驗證。
圖3 RODC屬性窗口
在上述“密碼輔助策略”面板中點擊“添加”按鈕,在打開窗口中選擇“允許該賬戶的密碼復(fù)制到此RODC中”項,在下一步窗口中輸入對應(yīng)的賬戶名稱,點擊“檢查名稱”按鈕,檢測其是否合法。點擊確定按鈕,就可以將該賬戶添加進來了。當(dāng)RODC域控部署完畢后,會創(chuàng)建名為“Allowed RODC Password Replication group”組,屬于全局安全組。因此,只要將對應(yīng)的賬戶添加到該組中,也可以實現(xiàn)同樣的效果。雙擊“密碼輔助策略”面板中的該組名稱,在屬性窗口中的“成員”面板中點擊添加按鈕,按照上述方法,將所需的賬戶添加進來即可。
如果RODC域控和總部網(wǎng)絡(luò)斷開連接,為了保證分支機構(gòu)用戶順利登錄,需要使用預(yù)設(shè)密碼機制,將對應(yīng)賬戶和其使用的主機賬戶復(fù)制到RODC中即可,但前提是必須將對應(yīng)的賬戶和主機添加到上述允許列表中。在目標RODC域控屬性窗口中的“密碼輔助策略”面板中點擊“高級”按鈕,在打開窗口中的“策略使用率”面板中點擊“預(yù)設(shè)密碼”按鈕,輸入對應(yīng)賬戶和主機名(例如“user1@xxx.com;pc1”等),點擊確定按鈕,當(dāng)出現(xiàn)“已成功預(yù)填充所有賬戶的密碼”信息,說明操作成功。
注意,如果分支機構(gòu)的RODC域控出現(xiàn)可疑情況需要刪除,可以在總部域控的Active Directory用戶和計算機窗口中選擇該RODC域控,在右鍵菜單上點擊“刪除”項,在警告窗口中選擇“重置此只讀域控制器上緩存的用戶賬戶的所有密碼”和“重置此只讀域控制器上緩存的計算機賬戶的所有密碼”項,緩存到RODC上的賬戶和計算機密碼就會被隨機修改,并且會丟失和主域之間的信任關(guān)系,這樣就無法訪問域環(huán)境了。