如何在小型分支机构部署只读域控制器（RODC）

目录

RODC概述

RODC的特点

RODC的部署步骤

常见问题解答（FAQ）

RODC与普通域控制器的对比

配置示例与代码

RODC概述

只读域控制器（Read-Only Domain Controller，简称RODC）是微软Active Directory Domain Services（AD DS）中的一种特殊域控制器，主要用于小型分支机构的部署。RODC的主要特点是其保存的数据是只读的，且默认情况下不缓存用户密码，从而提高了分支机构的安全性。

RODC的部署可以减少分支机构对主站点的依赖，同时通过单向复制机制，确保主站点的数据完整性。

RODC的特点

1. 数据只读

RODC保存的数据是只读的，包含所有AD DS的对象和属性，但默认情况下不缓存用户密码。管理员可以通过特殊配置允许某些用户密码缓存到RODC。

2. 单向复制

RODC只支持入站复制，不支持出站复制。这意味着RODC不会向其他域控制器发送数据更新，确保了主站点的数据完整性。

3. 平均缓存

RODC默认只缓存其自身的计算机账户和一个特殊的KRBTGT账户。管理员可以通过配置允许其他用户和计算机账户的缓存。

4. 只读DNS

RODC的DNS功能也是只读的，不能更新DNS记录。RODC的DNS信息通过增量复制从可写域控制器获取。

5. 管理角色分离

RODC的管理角色可以分离，管理员可以指定一个普通域账户作为RODC的本地管理员，简化了分支机构的管理。

RODC的部署步骤

1. 安装AD域服务

在Windows Server上，通过“服务器管理器”安装AD域服务。

# 安装AD域服务

Install-WindowsFeature AD-Domain-Services

2. 提升为域控制器

使用“Active Directory域服务配置向导”将服务器提升为域控制器。

# 提升为RODC

Install-ADDSDomainController -InstallDNS:$false -DomainName "control.com" -SiteName "Shanghai" -ReadOnlyReplica:$true -Credential (Get-Credential) -DatabasePath "C:\Windows\NTDS" -LogPath "C:\Windows\NTDS" -SysvolPath "C:\Windows\SYSVOL" -Force:$true

3. 配置管理账户

为RODC指定一个普通域账户作为本地管理员。

# 配置RODC管理账户

Set-ADObject -Identity "CN=RODCAdmin,CN=Users,DC=control,DC=com" -Add @{"msDS-AllowedToActOnBehalfOfOtherIdentity" = @{"AllowedRODCs" = "CN=DC05,CN=Servers,CN=Shanghai,CN=Sites,CN=Configuration,DC=control,DC=com"}}

4. 配置密码复制策略

通过组策略配置允许或拒绝密码复制到RODC。

# 配置密码复制策略

Add-ADGroupMember -Identity "Allowed RODC Password Replication Group" -Members "CN=User1,CN=Users,DC=control,DC=com"

常见问题解答（FAQ）

问题 答案

Q1: RODC与普通域控制器的主要区别是什么？ RODC的数据是只读的，不支持出站复制，且默认不缓存用户密码。

Q2: 如何配置RODC的管理账户？ 使用普通域账户作为RODC的本地管理员，并通过组策略配置管理权限。

Q3: RODC的DNS功能如何工作？ RODC的DNS是只读的，不能更新DNS记录，其DNS信息通过增量复制从可写域控制器获取。

Q4: 如何配置密码复制策略？ 通过“Allowed RODC Password Replication Group”组配置允许或拒绝密码复制到RODC。

Q5: RODC的复制机制是什么？ RODC只支持入站复制，不支持出站复制，确保主站点的数据完整性。

RODC与普通域控制器的对比

特性 RODC 普通域控制器

数据可写性 只读 可写

密码缓存 默认不缓存 默认缓存

复制机制 单向复制 多主复制

DNS功能 只读DNS 可写DNS

管理角色 管理角色分离 管理角色集中

配置示例与代码

示例1: 安装AD域服务

# 安装AD域服务

Install-WindowsFeature AD-Domain-Services

示例2: 提升为RODC

# 提升为RODC

Install-ADDSDomainController -InstallDNS:$false -DomainName "control.com" -SiteName "Shanghai" -ReadOnlyReplica:$true -Credential (Get-Credential) -DatabasePath "C:\Windows\NTDS" -LogPath "C:\Windows\NTDS" -SysvolPath "C:\Windows\SYSVOL" -Force:$true

示例3: 配置密码复制策略

# 配置密码复制策略

Add-ADGroupMember -Identity "Allowed RODC Password Replication Group" -Members "CN=User1,CN=Users,DC=control,DC=com"

通过本文的详细讲解，读者可以全面了解RODC的特点、部署步骤以及管理方法，从而在小型分支机构中成功部署RODC，提升分支机构的安全性和管理效率。