Windows Server 2008 RODC部署与管理

Windows Server 2008 RODC部署与管理Windows Server 2008 RODC部署与管理目录Windows Server 2008之RODC部署攻略1Win2008 RODC管理攻略之身份验证过程10Windows Server 2008 R2全局编录服务器15Windows Server 2008之RODC部署攻略只读域控制器（RODC）是Windows Server 2008操作系统中新型的域控制器。RODC使分支办公室配置域控制器更加安全，这些分支办公室要求有快速、可靠、强健的证明服务。对于需要改进的安全性，想实现快速登录，能更有效的访问网络资源。这些都可以用RODC来实现。（图1）RODC简要部署过程：1、开始RODC的建立，先设置好IP，DNS等项。2、打开服务器管理器，添加角色：（图2）出现欢迎向导，点击下一步：在左边能看到所有的步骤出现AD域服务简介，点击确认安装。（图3）开始安装，显示进度，结果。（图4）3、打开开始运行，输入dcpromo /adv（图5）为林或新林选择某一部署配置（图6）输入域名称与及有权限的用户。4、为创建的额外域控制器选择一个域，选择一个站点。选择RODC安装选项（图7）5、指定密码复制策略。密码复制策略决定了用户或者计算机的凭据是否可以从可写域控制器复制到RODC。如果策略允许，那么可写域控制器将密码复制到RODC上，并且RODC缓存这些凭据。这是默认选项：（图8）6、委派管理RODC的用户或组，也可不选定。接下来指定复制域控制器数据的方法（图9）7、为安装选择一个源域控制器，作为复制伙伴，选择保存AD域控制器数据库，日志，sysvol的文件夹。目录服务还原模式管理员登录密码，显示摘要信息，可导出配置，应用到无人参与安装。（图10）进行安装向导，等待安成。（图11）至此，RODC部署完成。重启机器后即可正常工作。Win2008 RODC管理攻略之身份验证过程前文我们介绍了RODC的基本安装，与可写域控制器相比 RODC 需要较少的管理，这也是它在Windows Server2008中的一个重要优势。它仅需要入站复制，并且不能将错误信息写入 Active Directory 数据库。本文以实例方式介绍如何使用 RODC 进行身份验证过程。在此方案中：用户 Bob 想登录名为 BOB_WS 的工作站。其中安装 BOB_WS 工作站的子网由 RODC 提供服务。允许 Bob 的用户帐户将凭据缓存在 RODC 上，但凭据尚未缓存。允许 BOB_WS 计算机帐户将凭据缓存在 RODC 上，但凭据尚未缓存。Bob 尝试登录工作站 BOB_WS。首先，必须从域控制器中检索 TGT。此方案中的 TGT 检索过程如下图所示。（图1）RODC 作为分支机构的 KDC 播发。这意味着当 BOB_WS 搜索域控制器以对 Bob 的登录请求进行身份验证时，它可以找到 RODC 并将其用作 KDC。BOB_WS 的 Kerberos 身份验证包准备 TGT 请求并将其发送给 RODC。RODC 收到来自 BOB_WS 的 TGT 请求。由于 RODC 不知道 Bob 帐户的密码，因此无法为 Bob 创建 TGT。RODC 将此 TGT 请求转发给可写的 Windows Server 2008 域控制器。可写的 Windows Server 2008 域控制器对请求进行身份验证。然后将结果返回给 RODC。如果 Bob 提供正确的凭据，则结果为 TGT。如果 Bob 的凭据验证失败，则结果为错误消息。在此方案中，如果登录时 Bob 输入了有效的用户名和密码，则验证成功。在可写的域控制器将 TGT 返回给 RODC 的同时，还将 Bob 帐户的可分辨名称（也称为 DN）添加到 RODC 计算机帐户的 msDS-AuthenticatedToAccountList 属性。这将创建一条 Bob 已通过 RODC 的身份验证的记录。然后 RODC 将结果传递给 BOB_WS。RODC 将 TGT 发送回 BOB_WS 之后，还请求可写域控制器将 Bob 的凭据复制到 Active Directory 数据库的副本。当可写域控制器收到将 Bob 的凭据复制到 RODC 的请求时，将检查密码复制策略，看是否允许 RODC 缓存 Bob 帐户的凭据。如果检查指出可以缓存凭据，则可写域控制器允许将 Bob 的帐户凭据复制到 RODC。在可写域控制器发送 RODC 请求的凭据的同时，可写域控制器将 Bob 帐户的可分辨名称写入 RODC 计算机帐户的 msDS-RevealedList 属性。这将创建一条 Bob 帐户的凭据现在已缓存在 RODC 上的记录。RODC 将 Bob 的凭据存储在 Active Directory 数据库中其用户帐户的相应属性中。此时：可写域控制器具有一条已允许将 Bob 的凭据复制到 RODC 的记录。Bob 帐户的凭据缓存在 RODC 上。Bob 具有可写域控制器生成的 TGT。下一步，Bob 必须获得 BOB_WS 的服务票证才能对其进行操作，如下图所示。（图2）BOB_WS 将 Bob 的服务票证请求发送给 RODC。该请求包含由可写域控制器颁发的 TGT。RODC 不知道可写域控制器通常使用的 krbtgt 帐户的密码；因此，它必须将服务票证请求转发给可写域控制器。但是 RODC 已缓存了 Bob 的凭据；因此，它可以满足 Bob 的服务票证请求。因此，在可写域控制器成功响应转发的请求之后，RODC 向 BOB_WS 返回一条 Kerberos 错误消息而不是请求的服务票证。此错误消息指出 Bob 在服务票证请求中使用的 TGT 不再有效，因此必须颁发新的 TGT。收到此错误消息之后，BOB_WS 丢弃可写域控制器颁发的 TGT，并从 RODC 请求新的 TGT。RODC 已缓存了 Bob 的凭据，因此它准备一个 TGT 并用其自己 krbtgt 帐户的密码对其进行签名。然后 RODC 将此新的 TGT 发送回 BOB_WS。BOB_WS 将 Bob 的服务票证请求再次发送给 RODC。现在，服务票证请求包含由 RODC 颁发的 TGT。RODC 处理服务票证请求。由于它没有缓存 BOB_WS 计算机帐户凭据，因此它无法创建服务票证。它必须将服务票证请求转发给某个可写域控制器。可写域控制器收到来自 RODC 的服务票证请求。可写域控制器：验证 TGT。（可写的域控制器可以验证 TGT，因为它知道特定于 RODC 的 krbtgt 帐户的密码。）确定密码复制策略是否允许 RODC 缓存 Bob 帐户的凭据。允许 RODC 仅为允许将凭据缓存在其上的帐户创建 TGT。评估 Bob 帐户的成员身份并准备服务票证的权限验证证书 (PAC) 部分。它不使用由 RODC 准备的 TGT 的 PAC 部分。这样可防止在 RODC 受到威胁以及向 TGT 的 PAC 部分放置虚假信息时提升权限。可写域控制器创建服务票证并将其发送回 RODC。然后 RODC 将服务票证转发给 BOB_WS。Bob 便可以开始在 BOB_WS 上工作。RODC 将服务票证发送回 BOB_WS 之后，还请求可写域控制器将 BOB_WS 凭据复制到其 Active Directory 数据库的副本。当上游域控制器收到将 BOB_WS 帐户凭据复制到 RODC 的请求时，将检查密码复制策略，看是否允许 RODC 缓存 BOB_WS 帐户的凭据。如果可以缓存凭据，则可写域控制器允许将 BOB_WS 帐户凭据复制到 RODC。在可写域控制器发送 RODC 请求的凭据的同时，可写域控制器将 BOB_WS 帐户的可分辨名称写入 RODC 计算机帐户的 msDS-RevealedList 属性。这将创建一条 BOB_WS 的凭据现在已缓存在 RODC 上的记录。RODC 将 BOB_WS 计算机的凭据存储在 Active Directory 数据库中其计算机帐户的相应属性中。此时：Bob 已登录 BOB_WS 工作站，并且他可以请求服务票证以访问服务器上的资源，方法与他为其自己的工作站请求服务票证的方法一样。如果 Bob 访问的任何计算机允许将凭据缓存在 RODC 上，则在计算机处理服务票证请求时 RODC 将缓存凭据。RODC 缓存 BOB_WS 计算机帐户的凭据。可写域控制器创建一条其已将 BOB_WS 计算机帐户的凭据显示给 RODC 的记录。当 Bob 下次尝试登录 BOB_WS 工作站时，RODC 将无需联系可写域控制器即可处理登录请求，因为它已缓存了 Bob 帐户和 BOB_WS 帐户的凭据，如下图所示。（图3）RODC 作为分支机构的 KDC 播发。这意味着当 BOB_WS 搜索域控制器以对 Bob 的登录请求进行身份验证时，它可以找到 RODC 并将其用作 KDC。BOB_WS 的 Kerberos 身份验证包准备 TGT 请求并将其发送给 RODC。RODC 收到来自 BOB_WS 的 TGT 请求。由于 RODC 已经知道 Bob 帐户的密码，因此它可以为 Bob 创建 TGT。RODC 在创建 TGT 时使用其自己的 krbtgt 帐户。RODC 将 TGT 发送回 BOB_WS，BOB_WS 将 TGT 存储在与 Bob 的登录会话关联的票证缓存中。为了能够在 BOB_WS 上工作，Bob 需要服务票证来获得访问权限。BOB_WS 上的身份验证包创建服务票证请求并将其发送给 RODC。BOB_WS 上的身份验证包准备 TGT 请求并将其发送给 RODC。RODC 收到来自 BOB_WS 的服务票证请求，并且由于它已经知道 BOB_WS 计算机帐户的密码，因此它可以为 Bob 创建服务票证以访问 BOB_WS。RODC 在创建 TGT 时使用其自己的 krbtgt 帐户。RODC 将服务票证发送回 BOB_WS，BOB_WS 将服务票证存储在与 Bob 的登录会话关联的票证缓存中。Bob 便可以开始在 BOB_WS 上工作。Windows Server 2008 R2全局编录服务器GC是一台DC，它是一台特殊的DC，它存储森林中所有对象部分只读信息的特殊DC。在森林可以有多台GC，全局编录是一库，它包含了在活动目录中所有对象连续请求信息的子集，例如用户登录的ID等。GC的主要作用有：1、存储森林对象的信息副本。2、存储能用组成员身份信息。3、提高用户主体（UPN）名称身份验证信息。4、验证林内的对象参考。一、全局编辑服务器的规划GC在AD中十分重要，如果GC出现了问题，会造成用户不能登录到域访问资源。但由于GC存储的是林中所有域的副本，如果域的数据很多，AD对象很多情况下，GC数据库会很大。在规划GC时，需遵循以下原则：每个站点是否拥有GC。提升GC可能带来影响。DC提升为GC，会对GC服务器的性能、网络带宽、安全性、数据库的大小都提出更高要求，所以一般来说，每个站放置一台GC即可。是否将所有DC提升为GC，那就整个森的网络带宽、DC的性能来决定。二、查看、提升、删除GC注意：设置完成，并不代表GC已经提升完成，因为Gc同步需要时间。删除GC时，GC会对数据库进行清理，清理时间的长短和森中对象的多少有关三、验证GC的提升GC的提升完成，并不代表GC可以工作。运行LDP，依次进行如下操作可以看isGlobalCatalogReady=TRUE同时，DNS服务器记录得到了更新。三、验证GC服务器正常工作使用注册表和端口状态可以确认GC是否正常工作1、注册表2、端口验证由于GC正常工作时要用3268、3269（SSL），所以通过端口的状态验证是否正常运行