RODC是一部唯讀的網域控制站,主要功能是提供沒有IT人員的分點或是較不安全的環境
佈署網域控制站。
RODC是唯讀的AD資料庫,RODC會存放可寫入網域控制站所有的AD物件及屬性除了[帳戶密碼],用戶端無法將變更直接寫入 RODC。
唯讀的網域名稱系統
可以在 RODC 上安裝網域名稱系統 (DNS) 伺服器服務。RODC 可複寫 DNS 使用的所有應用程式目錄分割,包括 ForestDNSZones 與 DomainDNSZones。若 DNS 伺服器安裝在 RODC 上,用戶端可向它查詢名稱解析,就如同查詢其他 DNS 伺服器一般。
佈署需求:
1. 樹系及網域等級 ( forest functional level)至少是Windows Server 2003 或是更高
2.需要有一台windows Server 2008 以上可讀寫的DC
3. Run ADPrep /RODCPrep
LAB環境
DC 與 RODC 都是Windows Server 2012 R2
首先確認一 下目前樹系等級是否是windows server 2003 以上
要升級RODC 必須要有Domain admins 或 Enterprise Admins 群組內的使用者才可以執行
此次實作是要讓總公司的具有Domain admins 或 Enterprise Admins 群組內的管理員,預先
建立好RODC帳戶,最後委派給非Domain admins 或 Enterprise Admins 群組內的分公司使
用者來完成RODC安裝作業。
首先開啟AD管理工具 > 在 Domain Controllers 容器 > 滑鼠右鍵 > [預先建立唯獨網域控制站帳戶]
勾選進階模式安裝
使用目前登入的認證
輸入將要擔任RODC主機的電腦名稱
選擇站台
預設會勾選DNS及GC選項
指定密碼複寫原則,此步驟可以新增或移出允許密碼複寫的帳戶
在此可以先接點選[下一步],之後可以再做修改
委派安裝,可以委派群組或是使用者,此示範委派給roylee domin user
摘要
完成RODC預先帳戶新增作業
此時RODC電腦帳戶就會建立起來且是停用狀態
再來回到擔任RODC主機上,新增伺服器角色[AD網域服務]
進行升級作業,選擇[加入現有網域]
輸入網域名稱,及前面步驟委派的帳號roylee
設定目錄還原模式密碼
選擇複寫來源
資料庫路徑
檢閱選項
檢先決條件檢查,若沒問題點選[安裝]
安裝完畢後會自動重新開機,且RODC帳戶也變成啟用狀態
RODC安裝完畢後會產生兩個群組:
1Allowed RODC Password Replication Group : 可將其密碼複寫至網域中所有的唯讀網域控制站
2.Denied RODC Password Replication Group:不可將其密碼複寫至網域中任何唯讀網域控制站
測試:
將user1 加入Allowed RODC Password Replication Group ,會將passwword 快取至RODC
開啟AD管理工具,點選RODC 物件 > [密碼複寫原則]
將user1 加入Allowed RODC Password Replication Group
使用user1 帳號登入,因為user1 沒有登入的權限但是密碼還是快取至RODC
回到AD管理工具,查看RODC 密碼複寫原則,就會看到user1密碼已經存在RODC
使用user3登入但是未加入Allowed RODC Password Replication Group
但是密碼並不會儲存在RODC
若選擇[已通過這部唯讀網域控制站驗證的帳戶選項]會看到user3 已經通過驗證
但是因為權限不足無法登入該主機,
可以將使用者密碼先儲存一份到RODC
首先將user2 加入Allowed RODC Password Replication Group
因為user2 尚未登入所以密碼還沒有儲存至RODC
在密碼原則中 > 點選 [預先填入密碼]
選取user2
提示是否立即傳送user2密碼給RODC
點選[是]就會將user2 密碼傳送至RODC
RODC主機維護
因為RODC也是一台DC,本身還是保有一份本機帳號資料庫,因為一般user是無法登入該主機進行維護,例如安裝hotfix或是必要軟體。因為當地可能只有某個IT人員但是如果給予他domin admins 權限又太大,所以可以將網域帳號指派至RODC本機administrators群組讓該user進行維護。
將domain user roylee 加入本機群組,利用domain admins 登入RODC 執行指令如下
使用dsmgmt
local roles
add lab\roylee administrators
quit
quit
使用roylee 帳號就可以登入RODC
參考資料
1. RODC 功能
2. Install a Windows Server 2012 Active Directory Read-Only Domain Controller (RODC)
本篇瀏覽人數: 15306
您好,我不太明白一些技巧,我想請問如果我台北有兩台DC,台南建立一台RODC供台南辦公室加快登入驗證使用,我在站台的部份是不是該再切一個台南的site獨立把RODC放在那邊
那我應該如何指定台南辦公室的員工指向那台RODC做驗證呢,網路上說要更改DNS設定,但不懂應該如何設定?可否指點迷津,謝謝
您好
1.切site 可以確保台南地區同仁可以先找當地DC驗證
2.RODC也安裝DNS服務,台南這邊的同仁電腦 DNS 主要指向這台
給您參考看看
真感謝榮哥..!一直以來都有參考你的文件, 滿實用的。
您好
謝謝 您瀏覽本小站
你好
照著你的文章已建立rodc,想請問您新建立的rodc是否會自動跟主ad做複寫呢?
還是要需要做個別設定呢?
您好
會
請問是甚麼意思呢?
會複寫
你好
請問是會自動複寫,無須個別去做設定的意思嗎?
謝謝。
您好
基本上是
請您花時間看一下此篇文章
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753223(v=ws.10)?redirectedfrom=MSDN
你好,想請教您一個問題,如果client端或是rodc連接至ad server,
請問防火牆規則的方向是單向還是雙向呢?
您好
DC<>DC 雙向
DC <> Clinet單向
可以先參考下列網址看看
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd728028(v=ws.10)?redirectedfrom=MSDN
https://social.technet.microsoft.com/Forums/en-US/f67047fe-b13a-4636-a934-30fd083bc1a7/ad-port-requires-open-for-both-incoming-and-outgoing-traffic?forum=winserverDS
請問如果ad與rodc位於不同網段,防火牆上需要開啟哪些對應port,單向 還是雙向呢?
您好
DCDC 雙向
DC Clinet單向
可以先參考下列網址看看
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd728028(v=ws.10)?redirectedfrom=MSDN
https://social.technet.microsoft.com/Forums/en-US/f67047fe-b13a-4636-a934-30fd083bc1a7/ad-port-requires-open-for-both-incoming-and-outgoing-traffic?forum=winserverDS