Windows Server 2012 R2–RODC 佈署(唯讀網域控制站)

RODC是一部唯讀的網域控制站,主要功能是提供沒有IT人員的分點或是較不安全的環境

佈署網域控制站。

RODC是唯讀的AD資料庫,RODC會存放可寫入網域控制站所有的AD物件及屬性除了[帳戶密碼],用戶端無法將變更直接寫入 RODC。

唯讀的網域名稱系統

可以在 RODC 上安裝網域名稱系統 (DNS) 伺服器服務。RODC 可複寫 DNS 使用的所有應用程式目錄分割,包括 ForestDNSZones 與 DomainDNSZones。若 DNS 伺服器安裝在 RODC 上,用戶端可向它查詢名稱解析,就如同查詢其他 DNS 伺服器一般。

佈署需求:

1. 樹系及網域等級 ( forest functional level)至少是Windows Server 2003 或是更高

2.需要有一台windows Server 2008 以上可讀寫的DC

3. Run  ADPrep /RODCPrep

 

LAB環境

DC 與 RODC 都是Windows Server 2012 R2

R0

 

首先確認一 下目前樹系等級是否是windows server 2003 以上

R1

要升級RODC 必須要有Domain admins 或 Enterprise Admins 群組內的使用者才可以執行

此次實作是要讓總公司的具有Domain admins 或 Enterprise Admins 群組內的管理員,預先

建立好RODC帳戶,最後委派給非Domain admins 或 Enterprise Admins 群組內的分公司使

用者來完成RODC安裝作業。

首先開啟AD管理工具 > 在 Domain Controllers 容器 > 滑鼠右鍵 > [預先建立唯獨網域控制站帳戶]

R2

勾選進階模式安裝

R3

使用目前登入的認證

R4

輸入將要擔任RODC主機的電腦名稱

R5

選擇站台

R6

預設會勾選DNS及GC選項

R7

指定密碼複寫原則,此步驟可以新增或移出允許密碼複寫的帳戶

在此可以先接點選[下一步],之後可以再做修改

R8

委派安裝,可以委派群組或是使用者,此示範委派給roylee domin user

R9

摘要

R10

完成RODC預先帳戶新增作業

R11

此時RODC電腦帳戶就會建立起來且是停用狀態

R12

再來回到擔任RODC主機上,新增伺服器角色[AD網域服務]

R13

進行升級作業,選擇[加入現有網域]

R14

輸入網域名稱,及前面步驟委派的帳號roylee

R15

設定目錄還原模式密碼

R16

選擇複寫來源

R17

資料庫路徑

R18

檢閱選項

R19

檢先決條件檢查,若沒問題點選[安裝]

R20

安裝完畢後會自動重新開機,且RODC帳戶也變成啟用狀態

R21

RODC安裝完畢後會產生兩個群組:

1Allowed RODC Password Replication Group : 可將其密碼複寫至網域中所有的唯讀網域控制站

2.Denied RODC Password Replication Group:不可將其密碼複寫至網域中任何唯讀網域控制站

R22

測試:

將user1 加入Allowed RODC Password Replication Group ,會將passwword 快取至RODC

開啟AD管理工具,點選RODC 物件 > [密碼複寫原則]

R23

將user1 加入Allowed RODC Password Replication Group

R24

使用user1 帳號登入,因為user1 沒有登入的權限但是密碼還是快取至RODC

R25

回到AD管理工具,查看RODC 密碼複寫原則,就會看到user1密碼已經存在RODC

R26

使用user3登入但是未加入Allowed RODC Password Replication Group

R27

但是密碼並不會儲存在RODC

R28

若選擇[已通過這部唯讀網域控制站驗證的帳戶選項]會看到user3 已經通過驗證

但是因為權限不足無法登入該主機,

R29

可以將使用者密碼先儲存一份到RODC

首先將user2 加入Allowed RODC Password Replication Group

R31

因為user2 尚未登入所以密碼還沒有儲存至RODC

在密碼原則中 > 點選 [預先填入密碼]

R30

選取user2

R32

提示是否立即傳送user2密碼給RODC

R33

點選[是]就會將user2 密碼傳送至RODC

R34

R35

RODC主機維護

因為RODC也是一台DC,本身還是保有一份本機帳號資料庫,因為一般user是無法登入該主機進行維護,例如安裝hotfix或是必要軟體。因為當地可能只有某個IT人員但是如果給予他domin admins 權限又太大,所以可以將網域帳號指派至RODC本機administrators群組讓該user進行維護。

將domain user   roylee  加入本機群組,利用domain admins 登入RODC 執行指令如下

使用dsmgmt

local roles

add lab\roylee administrators

quit

quit

R36

使用roylee 帳號就可以登入RODC

R37

 

參考資料

1.  RODC 功能

2. Install a Windows Server 2012 Active Directory Read-Only Domain Controller (RODC)



本篇瀏覽人數: 2403
本篇發表於 RODC-2012R2, Windows Server 2012 R2。將永久鏈結加入書籤。

發表迴響

您的電子郵件位址並不會被公開。 必要欄位標記為 *

*

您可以使用這些 HTML 標籤與屬性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>