Windows Server 2016-部署RODC只读域控制器

只读域控制器Read-Only Domain Controller简称RODC。RODC是Windows Server 2008之后引入的一活动目录特性，与其他域控制器一样包含AD数据库，但RODC默认不保存域用户账户密码，并且RODC中包含的数据库也是只读的；只能单向从其他可读写域控制器请求信息，但无法将更改信息同步到其他可写域控。RODC一般多用于企业分支机构（办事处、分公司、驻外站点等），考虑到人员数量及带宽运营成本等，只读域控制器可简化区域无技术人员维护工作及人员投入成本，便于管理，提高本地办公效率，同时可改善当地网络环境的安全性。

架构图：

RODC优点：

1.只读Active Directory活动目录数据库，可降低因物理安全因素带来的网络安全威胁；

2.降低了网络之间复制负载，更有效的访问网络资源；

3.凭据缓存。可加速分支用户登录验证速度，降低系统在遭到破坏时受影响用户范围等(凭据缓存是用户或者计算机凭据的储存器。凭据是由和安全主体关联的一小组大约接近10个密码的集合所组成。在默认情况下RODC不储存用户或者计算机凭据。例外的情况是RODC自身的计算机账户以及每台RODC所有的特殊的krbtgt账户。你在RODC上必须显示允许其它任何凭据缓存。

)；

4.管理员角色权限分隔。可降低因分支管理员权限过大对整个活动目录的威胁；

5.只读DNS。可选择性安装DNS服务，安装并同步DNS信息后可加快分支机构上网的响应时间，但不会做动态更新，所有更新都是可读写域控制器DNS单向同步到RODC DNS服务器。

RODC缺点：

1.默认RODC不存储用户密码，如可读写域控出现问题，用户验证会出现异常错误。

2.RODC对可读写域控依赖性太强，如同步的可读写域控出现问题将直接影响RODC使用。

部署RODC的先决条件：

1.至少环境中需要一台Windows server 2008域控制器；

2.林功能级别需要是Windows server 2003或以上级别；

3.PDC(PDC Emulator)角色必须允许在Windows server 2008上;

4.整个环境中需要存在正常可读写的域控制器；

角色	主机名	IP地址
主域控	Major.azureyun.local	192.168.156.1
只读域控（RODC）	BRODC.azureyun.local	192.168.156.3

一：部署只读域控制器：

1.设置主机名及静态IP地址，指定主域控地址为首选DNS服务器地址：

2.通过命令行加域并重启该服务器：

netdom join %computername% /d:azureyun.local /userd:azureyun.local\administrator /passwordd:abc.123!

​

3.如果有需要，记得关闭防火墙：

4.添加域服务角色过程省略，直接开始正文，选择"将域控制器添加到现有域"，下一步继续：

5.勾选"域名系统(DNS)服务器""全局编录(GC)""只读域控制器(RODC)"并输入目录还原模式密码，单击下一步继续：

6.选择是否将密码复制到RODC的账户，建议不同步域管理员组、系统、服务架构等组密码复制，这里可自行设置，选择下一步继续：

7.选择从哪里同步复制：

8.指定AD DS数据库、日志文件和SYSVOL的日志存放位置：

9.确认已配置信息，点击下一步继续：

这里我们也可以通过Powershell命令安装RODC，命令如下：

#安装azureyun.local 只读域控RODC脚本
Import-Module ADDSDeployment
Install-ADDSDomainController `
-AllowPasswordReplicationAccountName @("AZUREYUN\Allowed RODC Password Replication Group") `
-NoGlobalCatalog:$false `
-CriticalReplicationOnly:$false `
-DatabasePath "C:\Windows\NTDS" `
-DenyPasswordReplicationAccountName @("BUILTIN\Administrators", "BUILTIN\Server Operators", "BUILTIN\Backup Operators", "BUILTIN\Account Operators", "AZUREYUN\Denied RODC Password Replication Group") `
-DomainName "azureyun.local" `
-InstallDns:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-ReadOnlyReplica:$true `
-SiteName "Default-First-Site-Name" `
-SysvolPath "C:\Windows\SYSVOL" `
-Force:$true

10.先决条件检查无问题时，点击"安装"继续：

11.RODC域控制器配置成功，点击关闭完成配置：

12.根据提示重启服务器完成配置：

二、验证RODC：

1.查看Active Directory用户和计算机下Domain Controllers有关BRODC的DC类型为"只读,GC"：

2.查看Active Directory用户和计算机有关域控制器相关信息：

2.1. Active Directory用户和计算机下右键"更改域控制器"：

2.2.选择更改目录服务器，此时选择此域控制器或AD LDS实例 为RODC：

2.3.提醒选定只读域控制器，这里默认选择"确定"继续：

3.此时我们发现快捷菜单栏有关新建用户、新建组、新建组织单位等都是灰色无法点击：

4.此时我们发现右键属性包括所有任务栏都没有新建用户、组织单位等按钮：

5.此时我们想通过右键委派权限的时候：

会提示我们没有权限写入此对象的安全信息：

6.此时我们想提升域功能级别的时候，发现我们没有权限提升：

7.在操作主机RID、PDC、基础结构选项均无法点击"更改"按钮，无法更改。

7.通过dsquery server命令查看站点信息如下：

RODC域控制器部署完成。

欢迎关注微信公众号：小温研习社