Windows Server 2008 RODC部署与管理.doc

Windows Server 2008 RODC部署与管理 目录 Windows Server 2008之RODC部署攻略 1 Win2008 RODC管理攻略之身份验证过程 10 Windows Server 2008 R2全局编录服务器 15  Windows Server 2008之RODC部署攻略 只读域控制器（RODC）是Windows Server 2008操作系统中新型的域控制器。RODC使分支办公室配置域控制器更加安全，这些分支办公室要求有快速、可靠、强健的证明服务。 　　对于需要改进的安全性，想实现快速登录，能更有效的访问网络资源。这些都可以用RODC来实现。（图1） 　　RODC简要部署过程： 　　1、开始RODC的建立，先设置好IP，DNS等项。 　　2、打开服务器管理器，添加角色：（图2） 　　出现欢迎向导，点击下一步：在左边能看到所有的步骤 　　出现AD域服务简介，点击确认安装。（图3） 　　开始安装，显示进度，结果。（图4） 　　3、打开开始－运行，输入dcpromo /adv（图5） 　　为林或新林选择某一部署配置（图6）输入域名称与及有权限的用户。 　　4、为创建的额外域控制器选择一个域，选择一个站点。选择RODC安装选项（图7） 　　5、指定密码复制策略。密码复制策略决定了用户或者计算机的凭据是否可以从可写域控制器复制到RODC。如果策略允许，那么可写域控制器将密码复制到RODC上，并且RODC缓存这些凭据。这是默认选项：（图8） 　　6、委派管理RODC的用户或组，也可不选定。接下来指定复制域控制器数据的方法（图9） 　　7、为安装选择一个源域控制器，作为复制伙伴，选择保存AD域控制器数据库，日志，sysvol的文件夹。目录服务还原模式管理员登录密码，显示摘要信息，可导出配置，应用到无人参与安装。（图10） 　　进行安装向导，等待安成。（图11） 　　至此，RODC部署完成。重启机器后即可正常工作。 Win2008 RODC管理攻略之身份验证过程 前文我们介绍了RODC的基本安装，与可写域控制器相比 RODC 需要较少的管理，这也是它在Windows Server2008中的一个重要优势。它仅需要入站复制，并且不能将错误信息写入 Active Directory 数据库。 　　本文以实例方式介绍如何使用 RODC 进行身份验证过程。在此方案中： 　　用户 Bob 想登录名为 BOB_WS 的工作站。 　　其中安装 BOB_WS 工作站的子网由 RODC 提供服务。 　　允许 Bob 的用户帐户将凭据缓存在 RODC 上，但凭据尚未缓存。 　　允许 BOB_WS 计算机帐户将凭据缓存在 RODC 上，但凭据尚未缓存。 　　Bob 尝试登录工作站 BOB_WS。首先，必须从域控制器中检索 TGT。此方案中的 TGT 检索过程如下图所示。（图1） 　　RODC 作为分支机构的 KDC 播发。这意味着当 BOB_WS 有哪些信誉好的足球投注网站域控制器以对 Bob 的登录请求进行身份验证时，它可以找到 RODC 并将其用作 KDC。BOB_WS 的 Kerberos 身份验证包准备 TGT 请求并将其发送给 RODC。 　　RODC 收到来自 BOB_WS 的 TGT 请求。由于 RODC 不知道 Bob 帐户的密码，因此无法为 Bob 创建 TGT。RODC 将此 TGT 请求转发给可写的 Windows Server 2008 域控制器。 　　可写的 Windows Server 2008 域控制器对请求进行身份验证。 　　然后将结果返回给 RODC。如果 Bob 提供正确的凭据，则结果为 TGT。如果 Bob 的凭据验证失败，则结果为错误消息。在此方案中，如果登录时 Bob 输入了有效的用户名和密码，则验证成功。 在可写的域控制器将 TGT 返回给 RODC 的同时，还将 Bob 帐户的可分辨名称（也称为 DN）添加到 RODC 计算机帐户的 msDS-AuthenticatedToAccountList 属性。这将创建一条 Bob 已通过 RODC 的身份验证的记录。 　　然后 RODC 将结果传递给 BOB_WS。 　　RODC 将 TGT 发送回 BOB_WS 之后，还请求可写域控制器将 Bob 的凭据复制到 Active Directory 数据库的副本。 　　当可写域控制器收到将 Bob 的凭据复制到 RODC 的请求时，将检查密码复制策略，看是否允许 RODC 缓存 Bob 帐户的凭据。 　　如果检查指出可以缓存凭据，则可写域控制器允许将 Bob 的帐户凭据复制到 RODC。 　　在可写域控制器发送 RODC 请求的凭据的同时，可写域控制器将 Bob 帐户的可分辨名称写入 RO