在這樣一個(gè)物理安全沒有得到保證，網(wǎng)絡(luò)質(zhì)量又不穩(wěn)定的情況，如何保證分支機(jī)構(gòu)的業(yè)務(wù)能夠正常運(yùn)轉(zhuǎn)，成為我們IT 管理部門很頭疼的一件事情。在windows server 2008 還沒有出來之前，我們只能把域控制器部署在公司總部，增加分支機(jī)構(gòu)到總部的網(wǎng)絡(luò)帶寬來保證分支機(jī)構(gòu)的業(yè)務(wù)正常進(jìn)行，這樣用戶不得不跨廣域網(wǎng)連接域控制器進(jìn)行身份驗(yàn)證，這將導(dǎo)致登錄時(shí)間變長(zhǎng)，阻礙網(wǎng)絡(luò)資源的訪問。在許多案例中，這不是有效的解決方法。那么windows server 2008 面世，又能給我們帶來什么解決方案呢？Windows Server 2008 改善了活動(dòng)目錄域控制器的安全特性，采用了最激動(dòng)人心的技術(shù)之一只讀域控制器(RODC)，這一嶄新的域控制器技術(shù)包含了大量特性，這些特性旨在提高分支機(jī)構(gòu)地區(qū)活動(dòng)目錄(AD)環(huán)境的整體安全性，為分支機(jī)構(gòu)活動(dòng)目錄數(shù)據(jù)安全提供有效的解決方案。
Windows Server 2008 活動(dòng)目錄只讀域控制器具有只讀活動(dòng)目錄數(shù)據(jù)庫(kù)、單向復(fù)制、憑據(jù)緩存、管理員角色分離、支持只讀DNS 這些特性，也就是這些特性保證了分支機(jī)構(gòu)活動(dòng)目錄數(shù)據(jù)安全，我們通過實(shí)驗(yàn)的方式來直觀明了地解釋這些特性。
1、 部署RODC
在域中部署一臺(tái)RODC 的前提條件需要兩個(gè)：
a、林功能級(jí)別必須是 Windows Server 2003，以便可以使用鏈接值復(fù)制。這提供了更高級(jí)別的復(fù)制一致性。當(dāng)然域功能級(jí)別也必須是 Windows Server 2003。

b、域中至少運(yùn)行一個(gè)Windows Server 2008 的可寫域控制器。這為 RODC 提供了復(fù)制伙伴。

若要部署運(yùn)行Windows Server 2008 的域控制器， 必須將 Windows Server 2008 安裝 DVD 上sourcesadprep 文件夾中的內(nèi)容復(fù)制到架構(gòu)主機(jī)， 然后運(yùn)行 adprep /forestprep 和adprep/domainprep /gpprep。
這里我們簡(jiǎn)單以windows server 2008 域?yàn)槔?/p>

實(shí)驗(yàn)簡(jiǎn)單步驟：
Ø 在DC3 上安裝活動(dòng)目錄
a、首先TCP/IP 屬性設(shè)置如下圖：
b、利用服務(wù)器管理器添加Active Directory 域服務(wù)角色
c、角色添加完成后，在命令提示符下輸入dcpromo
d、打開活動(dòng)目錄安裝向?qū)?，輸入信息?br />e、勾選DNS 服務(wù)器選項(xiàng)，接下來幾個(gè)對(duì)話框按默認(rèn)值即可，最后安裝活動(dòng)目錄，完成后重啟，
f、打開“Active Directory 用戶和計(jì)算機(jī)”管理工具，新建組織單位TEST，在該組織單位下新建用戶test001。

Ø 在DC4 上安裝只讀域控制器
a、在DC4 上設(shè)置TCP/IPS 屬性
b、利用服務(wù)器管理器添加Active Directory 域服務(wù)角色
c、角色添加完成后，在命令提示符下輸入dcpromo
d、打開活動(dòng)目錄安裝向?qū)?，輸入信息?br />e、勾選DNS 服務(wù)器、全局編錄、只讀域控制器RODC 選項(xiàng)
f、接下來的幾個(gè)對(duì)話框選擇默認(rèn)值即可，然后安裝完成后重新啟動(dòng)。

Ø 將客戶端PC2-WIN7 加入域
a、首先設(shè)置TCP/IP 屬性，如下圖：
b、打開“系統(tǒng)屬性”對(duì)話框，選擇“計(jì)算機(jī)”選項(xiàng)卡
c、在“計(jì)算機(jī)”選項(xiàng)卡上，選擇“更改”，然后輸入contoso.com，成功加域后重啟系統(tǒng)。

Ø 驗(yàn)證只讀活動(dòng)目錄數(shù)據(jù)庫(kù)

a、在DC3 上打開“Active Directory 用戶和計(jì)算機(jī)”管理工具，展開域控制器組織單位，可以看到DC4 為只讀DC
b、在DC4 上打開“Active Directory 用戶和計(jì)算機(jī)”管理工具，右鍵點(diǎn)擊contoso.com 域，可以看到?jīng)]有可以創(chuàng)建對(duì)象的選項(xiàng)，說明無法在只讀域控制器上創(chuàng)建或修改對(duì)象，其數(shù)據(jù)庫(kù)是只讀的，這意味著無論是普通用戶還是管理員，都沒有權(quán)限通過只讀域控制器對(duì)活動(dòng)目錄數(shù)據(jù)庫(kù)進(jìn)行修改。

Ø 驗(yàn)證單向復(fù)制
a、在DC3 上打開“Active Directory 站點(diǎn)和服務(wù)”管理工具，如下圖可以看到DC3 復(fù)制伙伴為空，DC4 復(fù)制伙伴為可寫域控制器DC3，說明只讀域控制器的數(shù)據(jù)庫(kù)必須從可寫域控制器上復(fù)制數(shù)據(jù)，可寫域控制器無法從只讀域控制器上復(fù)制數(shù)據(jù)，驗(yàn)證了復(fù)制是單向的。
Ø 緩存分支機(jī)構(gòu)憑據(jù)
a、在DC3 上，打開“Active Directory 用戶和計(jì)算機(jī)”管理工具，展開域控制器組織單位，打開DC4 只讀域控制器的屬性，查看密碼復(fù)制策略，默認(rèn)只有一個(gè)允許密碼復(fù)制策略
b、在密碼復(fù)制策略對(duì)話框中，打開“高級(jí)”對(duì)話框，可以看到，只有默認(rèn)的只讀域控制器計(jì)算機(jī)賬號(hào)和Kerberos 身份驗(yàn)證賬號(hào)密碼被緩存到RODC，其他賬號(hào)密碼沒有存儲(chǔ)在RODC 上，保證了賬號(hào)的安全。
c、可以通過密碼復(fù)制策略來決定哪些用戶或計(jì)算機(jī)帳號(hào)密碼可以復(fù)制到RODC 上，這大大降低了遠(yuǎn)程配置DC 的有關(guān)風(fēng)險(xiǎn)，因?yàn)樗鼘⒂锌赡苁艿酵{的密碼數(shù)量縮減到了最少。添加一個(gè)允許密碼復(fù)制策略，允許將客戶機(jī)PC2-WIN7 計(jì)算機(jī)帳號(hào)及用戶帳號(hào)test001 密碼緩存到RODC上
d、在密碼復(fù)制策略對(duì)話框中，選擇“高級(jí)”，點(diǎn)擊“預(yù)設(shè)密碼”將用戶帳號(hào)test001 和計(jì)算機(jī)帳號(hào)PC2-WIN7 的密碼提前存儲(chǔ)到RODC 上
e、禁用DC3 的網(wǎng)卡，模擬網(wǎng)絡(luò)故障，用戶test001 第一次在客戶機(jī)PC-WIN7 上登錄，仍然能夠得到身份驗(yàn)證，登錄網(wǎng)絡(luò)。說明只要設(shè)置合理，分支機(jī)構(gòu)與總部的網(wǎng)絡(luò)中斷，客戶機(jī)仍能
夠在RODC 得到身份驗(yàn)證；通過在這些辦公室中配置RODC，公司不用再在潛在不安全地區(qū)配置可寫域控制器，這樣就避免了公司暴露于固有的安全風(fēng)險(xiǎn)，也能減少遠(yuǎn)程用戶的驗(yàn)證次數(shù)。
f、測(cè)試完成后，重新啟用DC3 網(wǎng)卡。
Ø 管理員角色分離
由于分支機(jī)構(gòu)沒有專門IT 部門，默認(rèn)情況下，域中普通用戶無法登錄域控制器，如何讓域中普通用戶能對(duì)RODC 進(jìn)行系統(tǒng)補(bǔ)丁升級(jí)、軟件更新等維護(hù)工作，而不需要賦予域管理員權(quán)限呢？其實(shí)我們只需要把普通用戶加入到RODC 本地管理員組就可以完成對(duì)RODC 的維護(hù)任務(wù)，如下步驟：
a、 以域管理員登錄RODC，在命令提示符下輸入dsmgmt，然后在dsmgmt 模式下輸入localroles 查看服務(wù)器上可進(jìn)行的委派
b、 在local roles 模式下，輸入add contoso est001 administrators，可以看到“已成功更新本地角色”回應(yīng)，說明成功把普通域用戶test001 加入到RODC 本地管理員組
c、 為了讓域用戶test001 能夠?qū)υ摲种C(jī)構(gòu)進(jìn)行活動(dòng)目錄管理，例如：添加或刪除計(jì)算機(jī)帳號(hào)、添加或修改用戶帳號(hào)等，我們必須在可寫域控制器上對(duì)分支機(jī)構(gòu)OU 進(jìn)行委派控制，登錄DC3，假設(shè)分支機(jī)構(gòu)OU 為TEST，右鍵點(diǎn)擊TEST，選擇委派控制，然后根據(jù)向?qū)нM(jìn)行設(shè)置即可
d、 選擇委派控制的用戶和組，假設(shè)委派給用戶test001
e、 委派常見任務(wù)，最后完成設(shè)置
f、 以域用戶test001 登錄RODC，即DC4
g、 打開“Active Directory 用戶和計(jì)算機(jī)”管理工具，在TEST 組織單位下，可以新建用戶和組，實(shí)現(xiàn)對(duì)分支機(jī)構(gòu)的活動(dòng)目錄管理

Ø 驗(yàn)證只讀DNS
a、 在RODC 上打開“DNS 服務(wù)器”管理工具，可以看到所有區(qū)域?qū)傩远际侵蛔x的，無法修改

Ø RODC 被盜如何處理
由于分支機(jī)構(gòu)沒有專門ＩＴ機(jī)房，誰都能接觸到，物理安全沒有得到保證，萬一被盜了該怎么辦。應(yīng)盡快從域中刪除此 RODC 帳戶并重置其當(dāng)前密碼存儲(chǔ)在此 RODC 上的帳戶的密碼。其實(shí)
處理起來也很簡(jiǎn)單，步驟如下：
a、 在DC3 上，使用“Active Directory 用戶和計(jì)算機(jī)”，用鼠標(biāo)右鍵單擊Domain ControllerOU 中的RODC 計(jì)算機(jī)對(duì)象，然后選擇“刪除”
b、 為了安全考慮，應(yīng)全部勾選復(fù)選框，但如果重置計(jì)算機(jī)帳戶密碼，則必須將計(jì)算機(jī)重新加入域。重置用戶帳戶密碼，用戶必須聯(lián)系帳戶管理員才能登錄域。

c、 之后“刪除域控制器”會(huì)要求您確認(rèn)刪除請(qǐng)求。確認(rèn)該請(qǐng)求正確，然后單擊“確定”以繼續(xù)進(jìn)行刪除

總結(jié)：在分支機(jī)構(gòu)物理安全沒法保證情況下，windows server 2008 的RODC 提供了一個(gè)很好的解決方案，通過其獨(dú)有的特性保證了分支機(jī)構(gòu)活動(dòng)目錄數(shù)據(jù)安全。

wangliang