sponsored links
RODC 的作用
RODC 的作用
只读AD数据库
DODC属性过滤设置
管理员角色分离
只读DNS活动目录
在Win 2008改进 只读域控制器(RODC)
活动目录在Win 2008改进 只读域控制器
只读域控制器(RODC)是在Windows Server 2008操作系统中一种新的域控制器。有了只读域控制器，组织能够容易地的物理安全得不到保证的地区部署域控制器。一台RODC包含了活动目录数据库的只读部分。
　　在Windows Server 2008发布以前，如果用户不得不跨广域网连接域控制器进行身份验证的话，那也就没有其它更好的选择。在许多案例中，这不是有效的解决方法。分支机构通常无法为一台可写的域控制器提供的足够的物理安全。而且，当分支机构连接到枢纽站点时，它们的网络带宽通常比较差。这将导致登录时间变长。这也会阻碍网络资源的访问。
　　从Windows Server 2008开始，组织能够部署RODC来处理这些问题。作为部署的结果，用户能够获得以下好处：
　　●改进的安全性
　　●快速登录
　　●更有效的访问网络资源
　　RODC可以做什么?
　　在考虑部署RODC时，物理安全的不足是最为寻常的理由。RODC给那些需要快速可靠的身份验证，同时对可写域控制器而言物理安全无法得到确保的地方部署域控制器提供了新的方法。
　　然而你的组织也可以为了特殊的管理需要选择部署RODC。比如，业务程序(line-of-business，LOB)只能被安装到域控制器上并才能得以成功运行。或者，域控制器是分支机构仅有的服务器，而不得不运行服务器应用。
　　在这些例子中，业务程序所有者必须经常交互式登录到域控制器或者使用终端服务来配置和管理程序。这种环境引起了在可写域控制器上不被接受的安全风险。
　　RODC为在这些场景中部署域控制器提供了更安全的机械结构。你能够将登录到RODC的权利转让给没有管理权限的域用户同时最小化给互动目录森林带来的安全风险。
　　你也可以在其它场景中部署RODC，比如在外延网(EXTRANETS)中本地储存的所有域密码被认为是主要威胁。
　　还有其它要特别考虑的吗?
　　为了部署RODC，域中必须至少有一台运行Windows Server 2008的可写域控制器。此外，活动目录域和森林的功能级必须是Windows Server 2003或者更高。
这项特性提供了什么新功能?
　　RODC处理了在分支机构中的普遍问题。这些地方也许没有域控制器。或者他们有可写的域控制器但是没有足够的物理安全，网络带宽以及专门的技术人员来提供支持。下面的RODC的功能缓解了这些问题：
　　●只读活动目录数据库
　　●单向复制
　　●凭据缓存
　　●管理员角色分割
　　●只读DNS
　　●只读活动目录数据库
　　除了账户密码之外，RODC拥有所有可写域控制器拥有的对象和属性。然而，无法针对储存在RODC的数据库进行任何数据上的改变。数据上的改变必须在可写域控制器上进行然后复制回RODC。
　　请求获得目录读取权限的本地程序能够获得访问许可。当使用轻型目录访问协议(LDAP)的程序请求写入权限时将会收到"referral"应答。在枢纽站点中，通常情况下这些应答将写入请求引导到可写的域控制器。
　　RODC已筛选属性集
　　使用AD DS作为数据存储的某些程序，也许会将类似信任凭据的数据(诸如密码，信任凭据，加密密钥)储存在RODC上。而你不想将这些数据储存在RODC上是因为考虑到RODC受到安全威胁的情况。
　　为了这些程序。你可以在架构中动态配置不被复制到RODC的域对象的属性集。这个属性集被称为RODC已筛选属性集。在RODC已筛选属性集定义的属性不允许复制到森林内的任何一台RODC。
　　威胁到RODC的恶意用户能够以某种途径尝试配置RODC，并尝试将RODC已筛选属性集中定义的属性复制到其它域控制器。如果RODC尝试从一台安装Windows Server 2008的域控制器上复制这些属性，那么复制请求将被拒绝。然而，如果RODC尝试从一台安装Windows Server 2003的域控制器上复制这些属性，复制请求将被接受。
　　因此，作为安全性的预防措施，如果你想配置RODC已筛选属性集请确保森林的功能级是Windows Server 2008。如果森林的功能级是Windows Server 2008，那么收到威胁的RODC将不能被如此利用，因为运行Windows Server 2003的域控制器在森林中是不被允许的。
　　你无法添加系统关键属性到RODC已筛选属性集。判断是否是系统关键属性的依据是看以下服务能否正常工作，这样的服务有 AD DS、LSA、SAM(及SSPIs比如Kerberos)在Windows Server 2008 Beta3的后继版本中，系统关键属性拥有属性值等于1的schemaFlagsEx属性。
　　RODC已筛选属性集被配置在拥有架构操作主机的的服务器上。如果你尝试添加系统关键属性打到RODC已筛选属性集，而且架构操作主机运行在Windows Server 2008上，那么服务器将返回"unwillingToPerform"的LDAP错误。如果你尝试添加系统关键属性打到RODC已筛选属性集，但是架构操作主机运行在Windows Server 2003上，那么操作将看上去是成功完成了，然而属性值实际上却没有被添加。因此，当你想要添加属性到RODC已筛选属性集时，价格操作主机建议是运行Windows Server 2008的域控制器。这保证了系统关键属性不包含在RODC已筛选属性集中。
　　因为没有任何属性的变化会被直接写入RODC，所以任何变化不会从RODC发起。因此，作为复制伙伴的可写域控制器不会产生从RODC"拉"数据的操作。这意味着恶意用户在分支结构的RODC上进行的操作的结果不会被复制到森林的剩余部分。这也减少了枢纽站点里的桥头服务器的工作量以及为了监视复制所要求的工作量。
　　RODC的单向复制同时应用于AD DS及分布式文件系统(DFS)的复制。RODC为AD DS及DFS执行正常的入站复制。
　　凭据缓存
　　凭据缓存是用户或者计算机凭据的储存器。凭据是由和安全主体关联的一小组大约接近10个密码的集合所组成。在默认情况下RODC不储存用户或者计算机凭据。例外的情况是RODC自身的计算机账户以及每台RODC所有的特殊的krbtgt账户。你在RODC上必须显示允许其它任何凭据缓存。
　　RODC宣告成为分支结构的密钥分配中心(KDC)。RODC与可写域控制器上的KDC相比，它将使用不同的krgbrt账户和密码来签名或加密(TGT)请求。
　　当一个账户被成功验证时，RODC会试图联系枢纽站点中一台可写的的域控制器，并请求一份合适凭据的副本。可写域控制器将会识别出这个请求来自RODC，并考略影响到RODC的密码复制策略。
　　密码复制策略决定了用户或者计算机的凭据是否可以从可写域控制器复制到RODC。如果策略允许，那么可写域控制器将密码复制到RODC上，并且RODC缓存这些凭据。
　　当凭据被RODC缓存之后，RODC能够直接为用户登录请求服务直到凭据发生变化。(当TGT被RODC的krbtgt账户签名时，RODC识别出它有一份缓存的凭据副本。如果其它域控制器对TGT进行了签名，那么RODC将会把这个请求转递给一台可写域控制器。)
　　因为凭据缓存被限制为只有被RODC认证的用户的凭据才能被缓存，所以由于RODC受到威胁而导致的潜在的凭据泄露也得到了限制。因此，域用户中只有很少一部分的凭据被缓存在RODC上。因此，当发生RODC被盗的事件时，只有这些被缓存的凭据才有可能被破(po)解(jie)。
　　保持凭据缓存关闭也许能更深层次的限制泄露，但是这样将导致所有的认证请求都被传递给可写域控制器。管理员能够修改默认密码策略来允许用户凭据被缓存到RODC上。
　　管理员角色分割
你能委派RODC的本地管理权限至任何域用户而不用使该用户获得域或者域控制器的用户权限。这使分支机构的用户能够登录至RODC并执行诸如升级驱动程序之类的维护工作。然而分支结构用户无法登录到其它任何域控制器或者在域中执行其它管理工作。因此分支结构用户能够委派有效的权利来管理分支机构的RODC而不会威胁到域内其它部分的安全。
　　只读DNS
　　你能在RODC上安装DNS服务。RODC能够复制DNS使用的所有程序目录分区，包括ForestDNSZones以及DomainDNSZones。如果DNS服务被安装到RODC上，用户能够像查询其它DNS服务器一样进行名称解析。
　　然而，在RODC上的DNS服务不支持客户端直接更新。因为RODC不登记它所拥有任何的AD集成区域的NS资源记录。当客户端试图在RODC上尝试更新DNS记录时，服务器会返回包含支持客户端更新的DNS服务器的引用。随后，客户端能够尝试利用引用中提供的DNS服务器进行DNS记录更新。而在后台，RODC上的DNS服务器会尝试从更新的DNS服务器中复制已更新的记录。复制请求仅针对单一对象(DNS记录)。整个变化区域的列表或者域数据在特定的"复制单一对象"的请求过程中将不被复制。
本文出自 “RedHat乐园” 博客，谢绝转载！
只读域控制器 (RODC) 是 Windows Server? 2008 操作系统中的一种新类型的域控制器.借助 RODC,组织可以在无法保证物理安全性的位置中轻松部署域控制器.RODC 承载 Active Directory(R) 域服务 (AD DS) 数据库的只读分区. RODC的作用? 由于 RODC 是只读的,并且其他域控制器不从其进行复制,它们会 ...
准备工作 1. 首先在主域控制器DC上,创建一个存放分支办公处用户账号的组织单位FBRODC,然后再OU下创建一个普通用户和一个管理员用户,还有一个全局安全组. 2. 然后打开DNS管理器,展开正向区域,展开KG.COM.然后右击KG.COM.点击属性,点击区域传送,然后&允许传送到所有服务器&. 3. 然后输入在运行里输入cmd,打开命令工具, ...
一.RODC的特征 只读数据:RODC上包含所有ADDS的对象和属性,但是和可读写的DC不一样的是,默认情况下,RODC上不包含账户的密码.在不能保证域控制器的安全性的情况下(例如分支机构),我们通过RODC实现域信息的安全性.在分支机构如果有LDAP的应用程序需要访问活动目录并对活动目录对象作修改,则该LDAP应用程序可以重定向到中央站点的可读写DC上.
一.RODC的特征 只读数据:RODC上包含所有ADDS的对象和属性,但是和可读写的DC不一样的是,默认情况下,RODC上不包含账户的密码.在不能保证域控制器的安全性的情况下(例如分支机构),我们通过RODC实现域信息的安全性.在分支机构如果有LDAP的应用程序需要访问活动目录并对活动目录对象作修改,则该LDAP应用程序可以重定向到中央站点的可读写DC上.
如果我们想把win2008的额外域控升级到win08rodc,但是请问如果我没个点只有一台dc请问我如何升级比较好. 回答:您想把一些站点的Win2K8域控变为RODC. 首先,我们不能直接把一个现有的Win2K8域控变为RODC, 必须先把该域控降级为域成员,然后重新运行dcpromo 来提升它为RODC.另外,在提升第一台RODC之前,还需要在一台现有的 ...5.部署 RODC 的步骤_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
5.部署 RODC 的步骤
阅读已结束，下载文档到电脑
想免费下载更多文档？
定制HR最喜欢的简历
下载文档到电脑，方便使用
还剩12页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢查看:1609|回复：7
域服务器：2008 R2
RODC：2008 R2
最近装了一台RODC做测试，安装过程一切顺利。完毕后重启，用指定的管理者，如：张三登陆一次，然后查看RODC的密码复制策略，张三已经缓存在该RODC上了且已经通过该RODC验证。
之后断网，用张三再次登录，一直提示用户名或密码错误。
回到域服务器，在该RODC的密码复制里手动预设张三的账号和密码，再次用张三登录，依旧无法登陆。
总之不管是自动缓存还是手动预设，都无法登陆。
请问这个是什么原因？理论上只要密码缓存好了，断网应该是可以正常登陆的。应该从哪些方面入手排查？
顶上去，这个问题目前还没解决，求高人指点
优秀技术经理
断网是什么意思？
RODC是让客户端用的。
你登陆RODC干什么？
引用:原帖由 xzjfl 于
12:33 发表
断网是什么意思？
RODC是让客户端用的。
你登陆RODC干什么？ 断网就是断开网络。
RODC让客户端登陆没错，现在就是因为所有客户机在VPN断掉的情况下都无法登陆，指定的RODC管理员也无法登陆RODC本身。所以又装了一台测试用的RODC，结果指定的管理员在断网状态下也同样无法登陆。说明不是RODC的问题。
应该是主域服务器上某个地方出问题了，但现在不知该如何入手检查。
本帖最后由 Solitudes 于
13:35 编辑
其实我的问题就是，所有账户的密码都已经缓存在RODC上并已通过验证了，但这些账户在VPN断开的情况下全都无法登陆！
优秀技术经理
你客户端的DNS有没有指向到RODC？
现在是外地客户端的DNS都指向了RODC只读域控，在RODC与总部网络连接通的时候客户端域用户登入都一切正常，当RODC与总部的WAN网络断掉后，外地分公司的域用户就无法正常登入桌面，一定要vpn连接好后就可以正常，但可写域控上已经正常配置了外地用户与计算机的密码正常缓存进了RODC。可惜现在就是只要在WAN网络不通的情况下无论什么权限的用户都不能登入，请高手指点问题会是出在什么地方
现在把RODC属性里的NTDS设置RODC修改为GC，一切恢复正常，所有客户机和RODC管理员都可以在VPN断开的情况下正常登陆。
奇怪的是以前都是设置的只读DC，一直没有问题，直到前几天出问题。
现在莫名其妙这样解决了当前问题，还是很郁闷，不知道原因究竟在哪里。您现在的位置：&&&&&&&&&&&&文章内容
快捷导航：
活动目录在Win2008改进只读域控制器
来源：考试大&&&【考试大：助你考试通关,掌握未来】&&&日
　　单向复制
　　因为没有任何属性的变化会被直接写入RODC，所以任何变化不会从RODC发起。因此，作为复制伙伴的可写域控制器不会产生从RODC“拉”数据的操作。这意味着恶意用户在分支结构的RODC上进行的操作的结果不会被复制到森林的剩余部分。这也减少了枢纽站点里的桥头服务器的工作量以及为了监视复制所要求的工作量。
　　RODC的单向复制同时应用于AD DS及分布式文件系统(DFS)的复制。RODC为AD DS及DFS执行正常的入站复制。
　　凭据缓存
　　凭据缓存是用户或者计算机凭据的储存器。凭据是由和安全主体关联的一小组大约接近10个密码的集合所组成。在默认情况下RODC不储存用户或者计算机凭据。例外的情况是RODC自身的计算机账户以及每台RODC所有的特殊的krbtgt账户。你在RODC上必须显示允许其它任何凭据缓存。
　　RODC宣告成为分支结构的密钥分配中心(KDC)。RODC与可写域控制器上的KDC相比，它将使用不同的krgbrt账户和密码来签名或加密(TGT)请求。
　　当一个账户被成功验证时，RODC会试图联系枢纽站点中一台可写的的域控制器，并请求一份合适凭据的副本。可写域控制器将会识别出这个请求来自RODC，并考略影响到RODC的密码复制策略。
　　密码复制策略决定了用户或者计算机的凭据是否可以从可写域控制器复制到RODC。如果策略允许，那么可写域控制器将密码复制到RODC上，并且RODC缓存这些凭据。
　　当凭据被RODC缓存之后，RODC能够直接为用户登录请求服务直到凭据发生变化。(当TGT被RODC的krbtgt账户签名时，RODC识别出它有一份缓存的凭据副本。如果其它域控制器对TGT进行了签名，那么RODC将会把这个请求转递给一台可写域控制器。)
　　因为凭据缓存被限制为只有被RODC认证的用户的凭据才能被缓存，所以由于RODC受到威胁而导致的潜在的凭据泄露也得到了限制。因此，域用户中只有很少一部分的凭据被缓存在RODC上。因此，当发生RODC被盗的事件时，只有这些被缓存的凭据才有可能被破解。
　　保持凭据缓存关闭也许能更深层次的限制泄露，但是这样将导致所有的认证请求都被传递给可写域控制器。管理员能够修改默认密码策略来允许用户凭据被缓存到RODC上。
　　管理员角色分割
　　你能委派RODC的本地管理权限至任何域用户而不用使该用户获得域或者域控制器的用户权限。这使分支机构的用户能够登录至RODC并执行诸如升级驱动程序之类的维护工作。然而分支结构用户无法登录到其它任何域控制器或者在域中执行其它管理工作。因此分支结构用户能够委派有效的权利来管理分支机构的RODC而不会威胁到域内其它部分的安全。
　　只读DNS
　　你能在RODC上安装DNS服务。RODC能够复制DNS使用的所有程序目录分区，包括ForestDNSZones以及DomainDNSZones。如果DNS服务被安装到RODC上，用户能够像查询其它DNS服务器一样进行名称解析。
　　然而，在RODC上的DNS服务不支持客户端直接更新。因为RODC不登记它所拥有任何的AD集成区域的NS资源记录。当客户端试图在RODC上尝试更新DNS记录时，服务器会返回包含支持客户端更新的DNS服务器的引用。随后，客户端能够尝试利用引用中提供的DNS服务器进行DNS记录更新。而在后台，RODC上的DNS服务器会尝试从更新的DNS服务器中复制已更新的记录。复制请求仅针对单一对象(DNS记录)。整个变化区域的列表或者域数据在特定的“复制单一对象”的请求过程中将不被复制。
来源:考试大-
责编:冷客&&&
刘德强￥100李琳玲￥100陈翠娥￥100邱春荣￥100陶玲￥100刘德强￥50
暂无跟贴,欢迎您发表意见
考试大微软认证考试一周评论排行
1.&&评论4条
2.&&评论1条
3.&&评论1条
4.&&评论1条
5.&&评论1条
6.&&评论1条
主讲：陈翠娥
12345678910
12345678910
12345678910
12345678910
12345678910