某些將 AD DS 用作數(shù)據(jù)存儲(chǔ)的應(yīng)用程序可能具有不希望存儲(chǔ)在 RODC 上的類似憑據(jù)的數(shù)據(jù)（例如密碼、憑據(jù)或加密密鑰），以防 RODC 的安全受到危害。對(duì)于這些類型的應(yīng)用程序，可以在架構(gòu)中為將不會(huì)復(fù)制到 RODC 的域?qū)ο髣?dòng)態(tài)配置一組屬性。這組屬性稱為 RODC 篩選的屬性集。在 RODC 篩選的屬性集中定義的屬性不允許復(fù)制到林中的任何 RODC。從而保證了應(yīng)用程序的安全性。

但是威脅 RODC 的惡意用戶可能嘗試采用這種方式對(duì)其進(jìn)行配置，以試圖復(fù)制在 RODC 篩選的屬性集中定義的屬性。如果 RODC 嘗試從運(yùn)行 Windows Server 2008 的域控制器復(fù)制這些屬性，則復(fù)制請(qǐng)求會(huì)被拒絕。但是，如果 RODC 嘗試從運(yùn)行 Windows Server 2003 的域控制器復(fù)制屬性，則復(fù)制請(qǐng)求可能成功。 因此，出于安全考慮，如果您計(jì)劃配置 RODC 篩選的屬性集，請(qǐng)確保林功能級(jí)別為 Windows Server 2008。當(dāng)林功能級(jí)別為 Windows Server 2008 時(shí)，無法以這種方式使用受到威脅的 RODC，因?yàn)榱种胁辉试S運(yùn)行 Windows Server 2003 的域控制器。

不得將系統(tǒng)關(guān)鍵屬性添加到 RODC 篩選的屬性集。如果一個(gè)屬性是 AD DS、本地安全機(jī)構(gòu) (LSA)、安全帳戶管理器 (SAM) 和 Microsoft 特定的安全服務(wù)提供程序接口 (SSPI)（例如 Kerberos）正常工作所要求的，則該屬性是系統(tǒng)關(guān)鍵屬性。系統(tǒng)關(guān)鍵屬性的 schemaFlagsEx 屬性值等于 1 (schemaFlagsEx attribute value & 0x1 = TRUE)。

RODC 篩選的屬性集在保存架構(gòu)操作主機(jī)角色的服務(wù)器上進(jìn)行配置。當(dāng)架構(gòu)主機(jī)運(yùn)行 Windows Server 2008 時(shí)，如果嘗試將系統(tǒng)關(guān)鍵的屬性添加到 RODC 篩選集，則服務(wù)器將返回 "unwillingToPerform" LDAP 錯(cuò)誤。如果嘗試將系統(tǒng)關(guān)鍵的屬性添加到在 Windows Server 2003 架構(gòu)主機(jī)上的 RODC 篩選的屬性集，則操作看起來成功，但實(shí)際上屬性未添加。因此，在將屬性添加到 RODC 篩選的屬性集時(shí)，建議架構(gòu)主機(jī)為 Windows Server 2008 域控制器。這確保在 RODC 篩選的屬性集中不包括系統(tǒng)關(guān)鍵的屬性。

憑據(jù)緩存指用戶或計(jì)算機(jī)憑據(jù)的存儲(chǔ)。憑據(jù)由與安全主體相關(guān)的一組大約 10 個(gè)密碼組成。默認(rèn)情況下，RODC 不存儲(chǔ)用戶或計(jì)算機(jī)憑據(jù)。例外情況為 RODC 的計(jì)算機(jī)帳戶和每個(gè) RODC 具有的特殊 krbtgt 帳戶。您必須明確允許任何其他憑據(jù)在 RODC 上緩存。

在帳戶成功經(jīng)過身份驗(yàn)證后，RODC 將嘗試與中心站點(diǎn)中的可寫域控制器聯(lián)系并請(qǐng)求獲取相應(yīng)憑據(jù)的副本?？蓪懹蚩刂破骺梢宰R(shí)別出請(qǐng)求來自某個(gè) RODC 并查詢對(duì)該 RODC 有效的密碼復(fù)制策略。密碼復(fù)制策略確定是否可以將用戶憑據(jù)或計(jì)算機(jī)憑據(jù)從可寫域控制器復(fù)制到 RODC。如果密碼復(fù)制策略允許復(fù)制憑據(jù)，則可寫域控制器將憑據(jù)復(fù)制到 RODC，然后 RODC 緩存憑據(jù)。

在 RODC 上緩存憑據(jù)之后，RODC 就可以直接服務(wù)該用戶的登錄請(qǐng)求，直到憑據(jù)更改。（當(dāng)使用 RODC 的 krbtgt 帳戶對(duì) TGT 簽名時(shí)，RODC 將識(shí)別出它具有憑據(jù)的緩存副本。如果其他域控制器對(duì) TGT 簽名，則 RODC 將請(qǐng)求轉(zhuǎn)發(fā)到可寫域控制器。）

通過將憑據(jù)緩存僅限于通過 RODC 驗(yàn)證身份的本地分支機(jī)構(gòu)用戶，通過危害 RODC 而使憑據(jù)泄露的可能性也得到限制。通常，在任何給定的 RODC 上只緩存一小部分域用戶的憑據(jù)。因此，如果出現(xiàn) RODC 被竊的情況，只有 RODC 上緩存的那些分支用戶的憑據(jù)可能會(huì)被破解。

保持憑據(jù)緩存處于禁用狀態(tài)可能進(jìn)一步限制泄露，但它將導(dǎo)致所有身份驗(yàn)證請(qǐng)求被轉(zhuǎn)發(fā)到可寫域控制器，這會(huì)使用戶登錄緩慢，并增加了WAN的網(wǎng)絡(luò)流量。管理員可以修改默認(rèn)密碼復(fù)制策略以允許在 RODC 上緩存用戶憑據(jù)。

可以將 RODC 的本地管理權(quán)限委托給任何域用戶，而無需授予該用戶對(duì)該域或其他域控制器的任何用戶權(quán)限。這允許本地分支用戶登錄到 RODC 并在服務(wù)器上執(zhí)行維護(hù)工作（例如升級(jí)驅(qū)動(dòng)程序）。但是，分支用戶不能登錄到任何其他域控制器或在域中執(zhí)行任何其他管理任務(wù)。以此方式，分支用戶可以被委派在分支機(jī)構(gòu)中有效地管理 RODC 的能力，而不會(huì)危害域的其余部分的安全。

可以在 RODC 上安裝 DNS 服務(wù)器服務(wù)。RODC 能夠復(fù)制 DNS 使用的所有應(yīng)用程序目錄分區(qū)（包括 ForestDNSZones 和 DomainDNSZones）。如果已在 RODC 上安裝了 DNS 服務(wù)器，則客戶端可以與查詢?nèi)魏纹渌?DNS 服務(wù)器一樣，查詢?cè)?DNS 服務(wù)器以進(jìn)行名稱解析。 但是，RODC 上的 DNS 服務(wù)器是只讀的，所以并不直接支持客戶端更新。有關(guān) DNS 服務(wù)器在 RODC 上如何處理 DNS 客戶端更新的詳細(xì)信息，請(qǐng)參閱位于 RODC 站點(diǎn)的客戶端的 DNS 更新。

為了支持 RODC 密碼復(fù)制策略，Windows Server 2008 AD DS 包含了新的屬性。密碼復(fù)制策略是一種機(jī)制，用于確定是否允許將用戶或計(jì)算機(jī)的憑據(jù)從可寫域控制器復(fù)制到 RODC。在運(yùn)行 Windows Server 2008 的可寫域控制器上始終設(shè)置密碼復(fù)制策略。

若要部署 RODC，在域中至少有一個(gè)可寫域控制器必須運(yùn)行 Windows Server 2008。此外，域和林的功能性的級(jí)別必須是 Windows Server 2003 或更高版本。 正如前文提到的原因，域和林的功能性的級(jí)別最好都為Windows 2008 。

在上面我們討論了RODC的重要特性。尤其主要解決了分支機(jī)構(gòu)中的一些常見問題。這些位置可能沒有域控制器。或者，這些位置可能具有可寫域控制器，但是不具備支持它的物理安全性、網(wǎng)絡(luò)帶寬或本地專業(yè)知識(shí)?？偨Y(jié)以上 RODC 功能，將有助于改善下面這些問題：

• 只讀 AD DS 數(shù)據(jù)庫

• 單向復(fù)制

• 憑據(jù)緩存

• 管理員角色分隔

• 只讀域名系統(tǒng) (DNS)

部署 RODC 的先決條件如下所示：

• RODC 必須將身份驗(yàn)證請(qǐng)求轉(zhuǎn)發(fā)到運(yùn)行 Windows Server 2008 的可寫域控制器。在此域控制器上設(shè)置了密碼復(fù)制策略，以確定是否為從 RODC 轉(zhuǎn)發(fā)的請(qǐng)求將憑據(jù)復(fù)制到分支位置。應(yīng)此網(wǎng)絡(luò)中需要至少一臺(tái)Windows Server 2008的可寫域控制器。

• 域功能性的級(jí)別必須是 Windows Server 2003 或更高版本，以便可以使用 Kerberos 受限制的委派。受限制的委派用于必須在調(diào)用方的上下文中模擬的安全調(diào)用。

• 林功能性的級(jí)別必須是 Windows Server 2003 或更高版本，以便可以使用鏈接值復(fù)制。這提供了更高級(jí)別的復(fù)制一致性。

• 在林中必須運(yùn)行一次 adprep /rodcprep 以更新在林中的所有 DNS 應(yīng)用程序目錄分區(qū)上的權(quán)限。以此方式，作為 DNS 服務(wù)器的所有 RODC 都將可以成功復(fù)制權(quán)限。

如何部署RODC，下面用截圖方式給以詳細(xì)介紹。
 
實(shí)驗(yàn)環(huán)境：有兩臺(tái)安裝windows server 2008的機(jī)器，一臺(tái)安裝為ICSS.COM.CN的林中第一臺(tái)域控制器DCSRV1.ICSS.COM.CN,IP為10.0.0.1,同時(shí)也是DNS Server.另一臺(tái)機(jī)器為RODCSRV2,在工作組WORKGROUP內(nèi)。IP為10.0.0.1,DNS Server指向10.0.0.1。

實(shí)驗(yàn)?zāi)繕?biāo)：將RODCSRV2安裝為域ICSS.COM.CN的RODC。

實(shí)驗(yàn)步驟：

1 先查看和確認(rèn)DCSRV1和RODCSRV2的系統(tǒng)屬性和IP設(shè)置。

2 在RODCSRV2上測(cè)試是否能連通DCSRV1和實(shí)現(xiàn)DNS 解析。

 
3 在RODCSRV2上打開服務(wù)器管理器，點(diǎn)擊＂添加角色＂

 
點(diǎn)擊”下一步”

選中”Active Directory 域服務(wù)”，點(diǎn)擊”下一步”

點(diǎn)擊”下一步”。

點(diǎn)擊”安裝”。
 
安裝完畢，點(diǎn)擊”關(guān)閉”。

4 打開Active Direcotry 域和信任關(guān)系，右擊＂Active Directory 域和信任關(guān)系＂，點(diǎn)擊”提升林功能級(jí)別”

選擇＂windows server 2008＂，將林功能級(jí)別設(shè)為windows server 2008模式。


如果不設(shè)置林功能級(jí)別為＂windows server 2003＂以上模式，在之后的安裝中會(huì)發(fā)現(xiàn)”只讀域控制器（RODC）”不可選

5 在命令提示符下運(yùn)行”dcpromo.exe”,點(diǎn)擊”下一步” 
 

點(diǎn)擊＂下一步＂

選中＂現(xiàn)有林＂和＂向現(xiàn)有域添加域控制器＂，點(diǎn)擊＂下一步＂

輸入ICSS.COM.CN和該的域管理員administrator及相應(yīng)密碼。


選中ICSS.COM.CN域。點(diǎn)擊＂下一步＂

點(diǎn)擊＂下一步＂

選中”DNS服務(wù)器”和＂只讀域控制器(RODC)＂兩項(xiàng)，點(diǎn)擊＂下一步＂

入委派管理RODC的域用戶組，可略過。點(diǎn)擊＂下一步＂

點(diǎn)擊＂下一步＂

輸入目錄服務(wù)還原模式的Administrator密碼

點(diǎn)擊＂下一步＂

開始安裝服務(wù)

安裝完畢，點(diǎn)擊＂完成＂

點(diǎn)擊＂產(chǎn)即重新啟動(dòng)＂

6 重新啟動(dòng)后，打開＂Active Directory 用戶和計(jì)算機(jī)＂，展開＂Domain controller＂，可以看到有兩個(gè)域控制器DCSRV1和RODCSRV2,并且RODCSRV2為只讀DC,到此RODCSRV2安裝成功。

本文詳細(xì)介紹了Windows Server 2008中的最新技術(shù)RODC的優(yōu)點(diǎn)和特性，并通過截圖方式實(shí)現(xiàn)了RODC的安裝過程。希望對(duì)大家學(xué)習(xí)Windows Server 2008有所幫助。

hanrui