Windows 2008 R2 RODC 安裝設定LAB

發佈日期: 2012 年 07 月 21 日作者: 榮哥

在安裝RODC須注意下面的事項

1. 確認樹系功能等級是Windows Server 2003。
2. 執行ADPREP /ForestPrep,擴充Schema。
3. 執行ADPREP /DomainPrep,建立安全群組。
4. 執行ADPREP /RodcPrep,增加唯讀網域控制站所需的屬
性。
5. 在網域中升級一台Windows Server 2008伺服器成為可寫入網
域控制站。
6. 在網域中升級一台Windows Server 2008伺服器成為唯讀網域
控制站。

如果已經在都是windows 2008 以上的網域就可以直接安裝RODC

LAB 環境

網域 : lab.com

HQ :

DC :  lab-dc1  192.168.2.1 (windows 2008 R2)

member server : lab-svr1 192.168.2.2 (windows 2008 R2)

RODC : lab-svr2   192.168.3.5 (windows 2008 R2)

用戶端 : lab-cl2 192.168.3.6 (windows 7)

達成目標 : 將lab-svr2  網域成員主機升級成RODC,提供分公司用戶驗證

升級RODC :

因為環境是windows 2008 DC 故可以直接在lab-svr2主機使用 dcpromo 升級RODC

  • 執行dcpromo ,在「出現歡迎使用Active Directory網域服務安裝精靈」點「下一步」
    rodc1
  • 點「下一步」

    rodc2

  • 選「現有樹系」,再選「新增現有網域的網域控制站」,點「下一步」

    rodc3

  • 在「網路認證」頁面中,輸入網域名稱,按「下一步」

    rodc4

  • 在「選取網域」頁面中,選擇欲加入的網域,按「下一步」
    rodc5
  • 勾選「唯讀網域控制站」核取方塊,按「下一步」
    rodc6
  • 「RODC安裝與委派授權」選取一位網域使用者帳號,這一個帳號會被加入到 唯讀網域控制站的本機Administrators群組,按「下一步」(可以不用設定)
    rodc7
  • DC資料庫 記錄檔存放位置使用預設即可
    rodc8
  • 設定還原模式密碼
    rodc9
  • 完成安裝重新開機
    rodc10
  • 在DC上可以看到RODC 電腦帳號
    rodc11

RODC 相關設定

唯讀網域控制站在預設的情形下是不複寫密碼,所以每一次驗證都會將使用者的密碼送往可寫入的網域控制站進行驗證工作,這樣對分公司的是使用者而言,有時可能因為頻寬壅塞,而造成驗證的時間較久,所以可以在唯讀網域控制站上,指定快取分公司的使用者密碼,如此就可以減少廣域網路上的流量。

設定密碼複寫原則

在RODC電腦物件上 按滑鼠右鍵,

選「內容」會看到 密碼複寫原則(password Replication Policy),此原則是

指定要快取密碼的帳號,不是直接複寫這些帳號的密碼

rodc12

 

測試1

分公司 USER4登入lab-cl2

(該PC DNS部分設定找RODC 192.168.3.5)

rodc14

(尚未設定將該USER帳號密碼快取至RODC)

rodc15

登入該PC

rodc13

檢查目前快取的密碼 (在password Replication Policy索引頁—> 點選Advanced )

rodc16

Accounts that been authenticated   to this  Rerd-only Domain controller

有USER4 密碼的快取

0000

測試2:

將如果RODC 無法與lab-dc1通聯,則USER4 就無法登入

將DC1 網路停用,RODC ping 不到lab-dc1

rodc18

因RODC 無法將密碼送至寫入的網域控制站進行驗證(lab-dc1)(即使之前有先登入過)

所以無法登入出現下圖訊息

rodc19

測試3:

將user4 密碼快取至RODC

在 password Replication Policy索引頁按「add」

rodc21

選取 Allow passwords for the account to replicate to this RODC

rodc20

將USER4 加入

rodc22

馬上檢查

Accounts whose passwords are   stored on this  Rerd-only Domain controller  選項

已經有user4 帳號允許將密碼存至RODC

rodc23

檢查目前快取

Accounts that been authenticated   to this  Rerd-only Domain controller  選項

目前還沒有user4的密碼快取(因為還沒登入過)

rodc24

user4 登入PC後

Accounts that been authenticated   to this  Rerd-only Domain controller  選項 就有快取

rodc25

 

測試4:

RODC 無法與lab-dc1通聯,則USER4 就還是可以登入

將DC1 網路停用,RODC ping 不到lab-dc1

rodc18

還是可以登入

rodc13



本篇瀏覽人數: 24625
分類: 2008 R2 DC Server。這篇內容的永久連結

在〈Windows 2008 R2 RODC 安裝設定LAB〉中有 2 則留言

  1. Alvin表示:
    2013 年 12 月 27 日10:02:34

    請問Client的PC,Join domain時,是用什麼帳戶join的??administrator???

    回覆
    • 榮哥表示:
      2014 年 01 月 05 日12:20:14

      您好
      不好意思這麼晚回復您,因為我印象中在ws2003在用戶端PC要加入domain
      加入時只需要輸入domin user 帳號就可以將電腦加入domain ,但是每個domin user 帳號只能加入10次(預設)
      至於WS2008 以後的網域我就沒有再去測試,我自己公司環境都是IT人員將電腦將入網域設定後再將PC交給用戶不會讓用戶自行加入網域

      回覆

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *