分步部署Windows Server 2012 R2只读域控制器
说明
只读域控制器是无法保证系统安全性的远程位置的理想选择。它们允许远程站点具有本地身份验证点,而无需存储有关域中每个对象的易受攻击的数据。存储在只读域控制器上的唯一信息是已被授权进行身份验证的用户和计算机的信息。被查询或者授权的任何其他对象都由只读DC转发到可写域控制器。
此教程将指导我们在环境中部署只读域控制器。
准备工作
在环境中部署只读域控制器之前,必须满足以下条件。确保环境满足或者超过以下要求。
现有的Active Directory域。
2003域和林功能级别或者更高。
至少一个运行Windows Server 2008或者更高版本的可写域控制器。
一台用于RODC角色的Windows Server 2012 R2服务器。
服务器配置
本教程实验中使用的Active Directory域具有以下服务器。最后一个是CALDC01,它将被配置为只读域控制器。
| 主机名 | 站点 | 角色 |
|---|---|---|
| TORDC01 | Toronto | 域控制器 |
| TORDC02 | Toronto | 域控制器 |
| CALDC01 | Singapore | 只读域控制器(RODC) |
网站配置
本教程使用的实验室在Active Directory中具有以下站点配置。
| 站点名称 | 子网 |
|---|---|
| Toronto | 172.30.0.0/24 |
| Singapore | 172.30.1.0/24 |
为RODC准备升级的Forest \ Domain
如果林或者域的域控制器是从Windows Server 2003升级的,则可能必须扩展架构以允许只读域控制器。原因是Windows Server 2003和Server 2003 R2不支持只读域控制器。该角色在Windows Server 2008中再次变得可用。如果林是在Server 2008或者Server 2012上创建的,则可以跳过此部分。
当我们尝试升级域控制器时,我们可能会知道域没有为RODC准备。将显示一条消息,如图1所示,表明找不到RODC使用的默认帐户。
在没有准备域的情况下升级RODC时,FIG1错误消息。
在运行64位版本的Windows Server的域控制器中挂载Windows Server 2012 R2 ISO或者光盘。理想情况下,服务器应承载架构FSMO角色。
执行以下命令,将D:\替换为已安装镜像的驱动器号。
D:\support\adprep\adprep /rodcprep
- 按照屏幕上的说明进行操作,然后等待架构更改被复制到域中的所有域控制器。根据站点的数量和域的大小,这可能需要一段时间。
准备RODC
以下步骤将安装Active Directory角色,并将服务器提升为域控制器。这些步骤与提升完整的可写域控制器非常相似。
启动服务器管理器。
单击服务器管理器控制台右上方的管理链接。
在"开始之前"屏幕上,单击"下一步"。
在"选择安装类型"屏幕上,确保选择"基于角色或者基于功能的安装",然后单击"下一步"。
在"选择目标服务器"屏幕上,单击"下一步"。
在"选择服务器角色"屏幕上,选择" Active Directory域服务",然后单击"下一步"。
如果出现"添加角色和功能向导"对话框,请单击"添加功能"。
在"选择功能"屏幕上,单击"下一步"。
在" Active Directory域服务"屏幕上,单击"下一步"。
在"确认"屏幕上,确保选中"根据需要自动重新启动目标服务器",然后单击"安装"。
安装完成后,单击"将此服务器升级为域控制器"。图2将服务器升级为域控制器
将服务器提升为域控制器
在"部署配置"屏幕上,确保选择"将域控制器添加到现有域",在"域"文本字段中输入标准域名,然后为该域的管理员添加凭据。图3部署配置屏幕
在"域控制器选项"屏幕上,确保选中"只读域控制器(RODC)",然后使用"站点名称"下拉列表选择服务器的站点,并设置DSRM密码。完成后,单击"下一步"。如图4所示,"域控制器选项"屏幕中,我们还在DNS角色上安装了RODC。在RODC上安装DNS角色后,DNS角色也变为只读。提交给该服务器的所有DNS记录注册请求都将转发到完整的域控制器。
在" RODC选项"屏幕上,我们可以配置允许哪些帐户或者组将其密码复制到RODC。默认情况下,RODC复制允许的RODC密码复制组中任何帐户的密码。对于我们来说,这可能太笼统了,所以我为卡尔加里用户创建了一个安全组。下一步将是删除默认的"允许的RODC密码复制"组。完成后单击"下一步"。图5 RODC选项屏幕重要的是要记住,只读域控制器将仅缓存添加到安全组中的帐户的凭据,这些安全组在允许将密码复制到RODC的帐户下列出。如果我们没有添加此站点的计算机和用户的帐户,则如果此站点与具有可写域的站点之间的链接,则其密码将不会存储在RODC上,并且他们将无法登录到任何计算机或者资源控制器故障。
在"其他选项"屏幕上,我们可以选择要复制的域控制器,也可以自动确定该域控制器。完成后单击"下一步"。
在"路径"屏幕上,我们可以选择Active Directory数据库,日志文件和SYSLOG文件的位置。最佳做法是将它们移动到单独的卷上。完成后,单击"下一步"。
在"检查选项"屏幕上,检查设置,然后单击"下一步"。
在"前提条件检查"屏幕上,查看结果,然后单击"安装"。
Active Directory对象的安装和复制完成后,服务器将重新启动。
