部署與管理RODC域控

RODC域控的功能特點

在內(nèi)網(wǎng)中如果部署了多臺普通域控，彼此之間是可以雙向復(fù)制Active Directory數(shù)據(jù)庫的，這樣可以實現(xiàn)數(shù)據(jù)的高可用性。但是，RODC的管理員沒有權(quán)限對活動目錄數(shù)據(jù)庫進行更改操作，只能從正常域控到RODC的單向復(fù)制動作。RODC是特殊的類型的域控，擁有AD DS域服務(wù)所有的對象和屬性，在默認情況下，RODC不會存儲賬戶密碼，這可以有效提高分支機構(gòu)的安全性。

但是這也顯示了RODC的脆弱性，一旦正常域控出現(xiàn)問題，RODC將無法借此執(zhí)行賬戶驗證操作。在RODC上是可以安裝DNS服務(wù)的，并且可以復(fù)制和DNS相關(guān)的所有應(yīng)用程序目錄分區(qū)中的數(shù)據(jù)，從而實現(xiàn)DNS解析功能。但是，它并不支持客戶端直接更新DNS記錄操作，所以RODC無法獲取Active Directoy集成區(qū)域中注冊的任何名稱記錄信息。對于普通的域賬戶來說，是可以成為RODC管理員的，可以在RODC所在的分支機構(gòu)執(zhí)行各種管理任務(wù)。RODC雖然可以當(dāng)做全局編錄服務(wù)器，但是卻不能安裝操作主機角色。

RODC密碼復(fù)制策略模式

對于RODC來說，密碼復(fù)制策略是很重要的，它可以將正常域控上的賬戶密碼信息緩存到RODC中，該策略決定哪些賬戶允許緩存哪些不允許緩存。但是，域控管理員可以單獨指定允許緩存的賬戶信息。在主域控上打開Active Directory用戶和計算機窗口，在左側(cè)選擇“Users”容器，雙擊右側(cè)的“Allowed RODC Password Replication Group”組，在屬性窗口中的“成員”面板中顯示允許緩存的賬戶列表，默認為空。如果在該組中添加賬戶，必須將對應(yīng)賬戶以及使用的計算機賬戶一并添加進來。

雙 擊“Denied RODC Password Replication group”組，在屬性窗口中的“成員”面板中顯示禁止緩存的賬戶信息，默認包括Domain Admins、Enterprise Admins、Schema Admins、Cert Publishings等。密碼緩存策略支持不緩存任何賬戶、緩存大多數(shù)賬戶、緩存少量賬戶等模式。第一種模式安全性最高，除了RODC本身的計算機賬戶和Krbtgt賬戶外，不會有別的賬戶密碼緩存到RODC中。Krbtgt賬戶是特殊的Kerberos票據(jù)授權(quán)賬戶，正常域控利用該賬戶來驗證RODC的身份。

第二種模式比較適用于較為安全的分支機構(gòu)環(huán)境，可以將大多數(shù)的賬戶信息添加到允許列表中，但是不允許添加類似于Doamin Admins之類的敏感賬戶。該模式提供了簡單的管理功能，允許在斷開和總部的鏈接后，讓緩存賬戶在RODC中順利登錄。第三種模式針對的是特定位置的RODC進行嚴格控制，讓每臺RODC只允許緩存一組特定的賬戶和計算機賬戶，并且允許脫機操作。當(dāng)緩存了RODC的賬戶信息后，這些信息將保存在RODC的活動目錄數(shù)據(jù)庫中，但是當(dāng)用戶更改了密碼后，對應(yīng)的緩存密碼將過期。如果更改了RODC的密碼復(fù)制策略，也會導(dǎo)致緩存密碼過期。

圖1 預(yù)創(chuàng)建RODC賬戶

在總部創(chuàng)建RODC賬戶

在部署時，必須保證在域中存在至少一臺正常的域控，在其上必須包含PDC操作主機角色。PDC主機的主要作用是可以兼容低版本的域控，PDC所在的域控可以優(yōu)先成為主域控制器，擁有活動目錄數(shù)據(jù)庫優(yōu)先復(fù)制的權(quán)限，PDC主機可以充當(dāng)時間服務(wù)器的角色，域中的所有主機會和其進行對時。在使用組策略時，組策略編輯器會默認連接到PDC主機，防止組策略出現(xiàn)重復(fù)套用的情況。這里就以部署Windows Server 2012 只讀域控為例進行說明。

RODC部署分為兩步，首先由總部的域管理員創(chuàng)建RODC賬戶，之后再由分支機構(gòu)內(nèi)被委派的用戶為RODC服務(wù)器附加附加上述賬戶。在總部由域系統(tǒng)管理員（即Domain Admins組中的用戶）登錄到主域控上，在Active Directory用戶和計算機窗口選擇左側(cè)的“Domain Controllers”容器，在右鍵菜單上點擊“預(yù)創(chuàng)建只讀域控制器賬戶”項，在向?qū)Ы缑妫ㄈ鐖D1）中選擇“使用高級模式安裝”項，在下一步窗口中選擇“我的當(dāng)前登錄憑據(jù)”項，點擊下一步按鈕，在指定計算機名窗口中輸入RODC主機名稱及其DNS計算機全名。

在下一步窗口中選擇RODC域控所在的AD DS站名，點擊下一步按鈕，選擇“DNS服務(wù)器”和“全局編錄”項，在下一步窗口中執(zhí)行密碼復(fù)制策略，默認僅允許將“Allowed RODC Password Replication Group”組中的賬戶添加進來，該組默認為空?？梢渣c擊“添加”按鈕，添加允許緩存的賬戶。點擊下一步按鈕，點擊“設(shè)置”按鈕，選擇所需的賬戶（例 如“xxxwpuser”），該賬戶被委派執(zhí)行后續(xù)的RODC域控安裝操作。點擊完成按鈕，完成第一步配置。

分支機構(gòu)安裝RODC域控

在分支機構(gòu)中登錄到將要成為RODC域控的主機，在服務(wù)器管理器中點擊“添加角色和功能”項，在向?qū)Ы缑嬷羞x擇安裝Active Directory域服務(wù)項，當(dāng)安裝完畢后，點擊“將此服務(wù)器提升為域控制器”鏈接，在向?qū)Ы缑妫ㄈ鐖D2）中選擇“將域控制器添加到現(xiàn)有域”項，輸入具體的域名（例如“xxx.com”），點擊“更改”按鈕，輸入上述委派的賬戶（例如“xxxwpuser”），點擊下一步，因為計算機賬戶已經(jīng)事先創(chuàng)建好，所以選擇“使用現(xiàn)有RODC賬戶”。輸入目錄服務(wù)還原模式（DSRM）密碼。點擊下一步，會直接從其他任何一臺域控上復(fù)制AD DS數(shù)據(jù)庫，之后依次點擊下一步，完成第二步安裝操作。本例中RODC的域名為“zdfz.xxx.com”。

圖2 在分支機構(gòu)安裝RODC域控

為了降低網(wǎng)絡(luò)負擔(dān)，可以使用安裝介質(zhì)來快速復(fù)制Active Directory數(shù)據(jù)庫。方法是，以域管理員身份登錄到正常域控上，在命令提示符窗口中執(zhí)行“ntdsutil”命令，之后執(zhí)行“active instance ntds”命令，將域控的AD DS數(shù)據(jù)庫設(shè)置為使用中。依次執(zhí)行“ifm”，“create sysvol rodc c:adfolder”，“quit”，“quit”命令，制作供RODC使用的安裝介質(zhì)，存儲位置為“c:adfolder”。 其 中的“sysvol”參數(shù)表示包含“ntds.dit”和SYSVOL的對象。將“c:adfolder”目錄的內(nèi)容復(fù)制到優(yōu)盤等介質(zhì)上，或者存儲到共享路徑中。在分支機構(gòu)中安裝RODC服務(wù)器，具體操作基本相同，所不同的是在安裝界面的“其他選項”窗口中需要選擇“從介質(zhì)安裝”項，點擊選擇按鈕，選擇上述安裝介質(zhì)，就可以快速復(fù)制Active Directory數(shù)據(jù)庫了。

驗證RODC域控

部署完RODC服務(wù)器后，在主域控上打開Active Directory用戶和計算機窗口，在左側(cè)選擇“Domain Controllers”容器，在右側(cè)顯示所有的域控信息，對于只讀域控，在“DC類型”列中會顯示“只讀，GC”之類的信息。如果在左側(cè)的域名節(jié)點上點擊右鍵，在彈出菜單上點擊“更改域控制器”項，在彈出窗口窗口中選擇“此域控制器會AD LDS實例”項，在列表中選擇上述名為“zdfz.xxx.com”的 RODC主機，系統(tǒng)會提示“選擇的域控制器是只讀域控制器，將不能執(zhí)行任何寫入操作”的信息。之后雖然可以連接到該RODC主機，但是所有的和寫操作相關(guān)的菜單項目均無法使用，例如執(zhí)行委派控制、提升域功能級別、更改操作主機、創(chuàng)建賬戶等動作均無法實現(xiàn)。

管理RODC域控

因為RODC域控本地的活動目錄數(shù)據(jù)庫默認為只讀屬性，不能存儲賬戶的密碼，為了管理上的便利，域管理員可以根據(jù)實際實際為分支機構(gòu)中的RODC服務(wù)器緩存對應(yīng)的賬戶密碼。以域管理員身份登錄主域控制器，在Active Directory用戶和計算機窗口左側(cè)選擇“Domain Controllers”容器，在右側(cè)選擇目標RODC域控，在屬性窗口（如圖3）中的“密碼輔助策略”面板中顯示默認的策略項目。

點擊“高級”按鈕，在打開窗口中的“策略使用率”面板中的“顯示滿足下列條件的用戶和計算機”列表中選擇“密碼已存儲在只讀域控制器中的賬戶”項，在“用戶和計算機”列表中顯示已經(jīng)發(fā)布的賬戶信息，該列表中的賬戶密碼是允許緩存到該RODC域控中的。RODC域控是無法直接創(chuàng)建賬戶的，域管理員必須先為之創(chuàng)建好所需的賬戶，之后發(fā)布到目標RODC域控上，該賬戶才可以在RODC上進行登錄驗證。

圖3 RODC屬性窗口

在上述“密碼輔助策略”面板中點擊“添加”按鈕，在打開窗口中選擇“允許該賬戶的密碼復(fù)制到此RODC中”項，在下一步窗口中輸入對應(yīng)的賬戶名稱，點擊“檢查名稱”按鈕，檢測其是否合法。點擊確定按鈕，就可以將該賬戶添加進來了。當(dāng)RODC域控部署完畢后，會創(chuàng)建名為“Allowed RODC Password Replication group”組，屬于全局安全組。因此，只要將對應(yīng)的賬戶添加到該組中，也可以實現(xiàn)同樣的效果。雙擊“密碼輔助策略”面板中的該組名稱，在屬性窗口中的“成員”面板中點擊添加按鈕，按照上述方法，將所需的賬戶添加進來即可。

如果RODC域控和總部網(wǎng)絡(luò)斷開連接，為了保證分支機構(gòu)用戶順利登錄，需要使用預(yù)設(shè)密碼機制，將對應(yīng)賬戶和其使用的主機賬戶復(fù)制到RODC中即可，但前提是必須將對應(yīng)的賬戶和主機添加到上述允許列表中。在目標RODC域控屬性窗口中的“密碼輔助策略”面板中點擊“高級”按鈕，在打開窗口中的“策略使用率”面板中點擊“預(yù)設(shè)密碼”按鈕，輸入對應(yīng)賬戶和主機名（例如“user1@xxx.com;pc1”等），點擊確定按鈕，當(dāng)出現(xiàn)“已成功預(yù)填充所有賬戶的密碼”信息，說明操作成功。

注意，如果分支機構(gòu)的RODC域控出現(xiàn)可疑情況需要刪除，可以在總部域控的Active Directory用戶和計算機窗口中選擇該RODC域控，在右鍵菜單上點擊“刪除”項，在警告窗口中選擇“重置此只讀域控制器上緩存的用戶賬戶的所有密碼”和“重置此只讀域控制器上緩存的計算機賬戶的所有密碼”項，緩存到RODC上的賬戶和計算機密碼就會被隨機修改，并且會丟失和主域之間的信任關(guān)系，這樣就無法訪問域環(huán)境了。