Windows 2008-RODC介绍

Windows 2008-RODC介绍

1.什么是RODC？

         RODC与以前熟悉的附加域控制器相似，不同的是RODC中只加载AD数据库的只读分区。因此，对管理员来说在分支机构的安全和管理方面有多了新的选择，在用户相对较少，物理安全性差，网络带宽较低，IT 知识贫乏的环境提供了新的解决方案。

1.1传统的多主机复制结构

1.2部署RODC后结构

         中央有一台安装了2008的DC，其他RODC采用单向复制的关系进行连接

2.RODC的功能？

  只读AD数据库

RODC 属性过滤设置

 单向复制

凭证缓存

管理员角色分离

只读DNS

ps:RODC不支持占有操作主机角色（FSMO）和做为桥头服务器，但是可以做为GC使用。

3.部署RODC的先决条件

 林功能级别必须为2003及以上模式

至少令中至少有一台可写WIN2008 DC服务器

准备AD  后面看图吧

4.ADPREP

在安装RODC前需要进行AD的扩展，为什么要运行这步，看介绍吧

在运行这步以前需要先运行adprep /forestprep

5.安装RODC

       主DC的安装在《Windows 2008-NAP技术初探》中已经介绍过，安装时只要注意林功能级别的学则2003以上就可以了，下面开始看图说话：

熟悉的向导

没什么好说的，下一步

这里选择向现有林添加DC，熟悉03及以前AD部署的人应该非常熟悉，对了，就是附加域控制器的选项

输入想要添加RODC的现有域

成功检索到

现有AD的默认站点

这里很关键，也是重点，不选择RODC就是安装以前的附加域控制器了

输入管理和委派，内部组织根据情况规划

选择数据库、日志文件和SYSVOL的位置，强烈推荐和系统卷分开放置，图里是虚拟机没办法只有一个卷

没什么好说的，目录服务还原模式密码，遇到故障还原AD备份时需要用到

摘要

完成

6.完成后的RODC

只读AD

DC在域控制器容器中的属性

生成的4个新组

RODC中的密码复制策略，通过这个策略我们可以决定将那些凭证缓存在RODC中，其中刚才新建的2个组ALLOW和DENY也在里面，我们可以编辑这2个组定义需要和拒绝的凭证缓存

默认的ALLOW组是没有内容的

默认的DENY组阻止这些内容

默认保存的凭证

总结：RODC基本的应用就介绍完了，这篇没有做WORD文档，文字都是现敲上去的，格式应该会好些吧。。。

本文转自 90375 51CTO博客，原文链接：http://blog.51cto.com/dong8745/70530，如需转载请自行联系原作者