部署與管理RODC域控

RODC域控的功能特點(diǎn)

在內(nèi)網(wǎng)中如果部署了多臺(tái)普通域控，彼此之間是可以雙向復(fù)制Active Directory數(shù)據(jù)庫(kù)的，這樣可以實(shí)現(xiàn)數(shù)據(jù)的高可用性。但是，RODC的管理員沒(méi)有權(quán)限對(duì)活動(dòng)目錄數(shù)據(jù)庫(kù)進(jìn)行更改操作，只能從正常域控到RODC的單向復(fù)制動(dòng)作。RODC是特殊的類(lèi)型的域控，擁有AD DS域服務(wù)所有的對(duì)象和屬性，在默認(rèn)情況下，RODC不會(huì)存儲(chǔ)賬戶密碼，這可以有效提高分支機(jī)構(gòu)的安全性。

但是這也顯示了RODC的脆弱性，一旦正常域控出現(xiàn)問(wèn)題，RODC將無(wú)法借此執(zhí)行賬戶驗(yàn)證操作。在RODC上是可以安裝DNS服務(wù)的，并且可以復(fù)制和DNS相關(guān)的所有應(yīng)用程序目錄分區(qū)中的數(shù)據(jù)，從而實(shí)現(xiàn)DNS解析功能。但是，它并不支持客戶端直接更新DNS記錄操作，所以RODC無(wú)法獲取Active Directoy集成區(qū)域中注冊(cè)的任何名稱(chēng)記錄信息。對(duì)于普通的域賬戶來(lái)說(shuō)，是可以成為RODC管理員的，可以在RODC所在的分支機(jī)構(gòu)執(zhí)行各種管理任務(wù)。RODC雖然可以當(dāng)做全局編錄服務(wù)器，但是卻不能安裝操作主機(jī)角色。

RODC密碼復(fù)制策略模式

對(duì)于RODC來(lái)說(shuō)，密碼復(fù)制策略是很重要的，它可以將正常域控上的賬戶密碼信息緩存到RODC中，該策略決定哪些賬戶允許緩存哪些不允許緩存。但是，域控管理員可以單獨(dú)指定允許緩存的賬戶信息。在主域控上打開(kāi)Active Directory用戶和計(jì)算機(jī)窗口，在左側(cè)選擇“Users”容器，雙擊右側(cè)的“Allowed RODC Password Replication Group”組，在屬性窗口中的“成員”面板中顯示允許緩存的賬戶列表，默認(rèn)為空。如果在該組中添加賬戶，必須將對(duì)應(yīng)賬戶以及使用的計(jì)算機(jī)賬戶一并添加進(jìn)來(lái)。

雙 擊“Denied RODC Password Replication group”組，在屬性窗口中的“成員”面板中顯示禁止緩存的賬戶信息，默認(rèn)包括Domain Admins、Enterprise Admins、Schema Admins、Cert Publishings等。密碼緩存策略支持不緩存任何賬戶、緩存大多數(shù)賬戶、緩存少量賬戶等模式。第一種模式安全性最高，除了RODC本身的計(jì)算機(jī)賬戶和Krbtgt賬戶外，不會(huì)有別的賬戶密碼緩存到RODC中。Krbtgt賬戶是特殊的Kerberos票據(jù)授權(quán)賬戶，正常域控利用該賬戶來(lái)驗(yàn)證RODC的身份。

第二種模式比較適用于較為安全的分支機(jī)構(gòu)環(huán)境，可以將大多數(shù)的賬戶信息添加到允許列表中，但是不允許添加類(lèi)似于Doamin Admins之類(lèi)的敏感賬戶。該模式提供了簡(jiǎn)單的管理功能，允許在斷開(kāi)和總部的鏈接后，讓緩存賬戶在RODC中順利登錄。第三種模式針對(duì)的是特定位置的RODC進(jìn)行嚴(yán)格控制，讓每臺(tái)RODC只允許緩存一組特定的賬戶和計(jì)算機(jī)賬戶，并且允許脫機(jī)操作。當(dāng)緩存了RODC的賬戶信息后，這些信息將保存在RODC的活動(dòng)目錄數(shù)據(jù)庫(kù)中，但是當(dāng)用戶更改了密碼后，對(duì)應(yīng)的緩存密碼將過(guò)期。如果更改了RODC的密碼復(fù)制策略，也會(huì)導(dǎo)致緩存密碼過(guò)期。

圖1 預(yù)創(chuàng)建RODC賬戶

在總部創(chuàng)建RODC賬戶

在部署時(shí)，必須保證在域中存在至少一臺(tái)正常的域控，在其上必須包含PDC操作主機(jī)角色。PDC主機(jī)的主要作用是可以兼容低版本的域控，PDC所在的域控可以?xún)?yōu)先成為主域控制器，擁有活動(dòng)目錄數(shù)據(jù)庫(kù)優(yōu)先復(fù)制的權(quán)限，PDC主機(jī)可以充當(dāng)時(shí)間服務(wù)器的角色，域中的所有主機(jī)會(huì)和其進(jìn)行對(duì)時(shí)。在使用組策略時(shí)，組策略編輯器會(huì)默認(rèn)連接到PDC主機(jī)，防止組策略出現(xiàn)重復(fù)套用的情況。這里就以部署Windows Server 2012 只讀域控為例進(jìn)行說(shuō)明。

RODC部署分為兩步，首先由總部的域管理員創(chuàng)建RODC賬戶，之后再由分支機(jī)構(gòu)內(nèi)被委派的用戶為RODC服務(wù)器附加附加上述賬戶。在總部由域系統(tǒng)管理員（即Domain Admins組中的用戶）登錄到主域控上，在Active Directory用戶和計(jì)算機(jī)窗口選擇左側(cè)的“Domain Controllers”容器，在右鍵菜單上點(diǎn)擊“預(yù)創(chuàng)建只讀域控制器賬戶”項(xiàng)，在向?qū)Ы缑妫ㄈ鐖D1）中選擇“使用高級(jí)模式安裝”項(xiàng)，在下一步窗口中選擇“我的當(dāng)前登錄憑據(jù)”項(xiàng)，點(diǎn)擊下一步按鈕，在指定計(jì)算機(jī)名窗口中輸入RODC主機(jī)名稱(chēng)及其DNS計(jì)算機(jī)全名。

在下一步窗口中選擇RODC域控所在的AD DS站名，點(diǎn)擊下一步按鈕，選擇“DNS服務(wù)器”和“全局編錄”項(xiàng)，在下一步窗口中執(zhí)行密碼復(fù)制策略，默認(rèn)僅允許將“Allowed RODC Password Replication Group”組中的賬戶添加進(jìn)來(lái)，該組默認(rèn)為空?？梢渣c(diǎn)擊“添加”按鈕，添加允許緩存的賬戶。點(diǎn)擊下一步按鈕，點(diǎn)擊“設(shè)置”按鈕，選擇所需的賬戶（例 如“xxxwpuser”），該賬戶被委派執(zhí)行后續(xù)的RODC域控安裝操作。點(diǎn)擊完成按鈕，完成第一步配置。

分支機(jī)構(gòu)安裝RODC域控

在分支機(jī)構(gòu)中登錄到將要成為RODC域控的主機(jī)，在服務(wù)器管理器中點(diǎn)擊“添加角色和功能”項(xiàng)，在向?qū)Ы缑嬷羞x擇安裝Active Directory域服務(wù)項(xiàng)，當(dāng)安裝完畢后，點(diǎn)擊“將此服務(wù)器提升為域控制器”鏈接，在向?qū)Ы缑妫ㄈ鐖D2）中選擇“將域控制器添加到現(xiàn)有域”項(xiàng)，輸入具體的域名（例如“xxx.com”），點(diǎn)擊“更改”按鈕，輸入上述委派的賬戶（例如“xxxwpuser”），點(diǎn)擊下一步，因?yàn)橛?jì)算機(jī)賬戶已經(jīng)事先創(chuàng)建好，所以選擇“使用現(xiàn)有RODC賬戶”。輸入目錄服務(wù)還原模式（DSRM）密碼。點(diǎn)擊下一步，會(huì)直接從其他任何一臺(tái)域控上復(fù)制AD DS數(shù)據(jù)庫(kù)，之后依次點(diǎn)擊下一步，完成第二步安裝操作。本例中RODC的域名為“zdfz.xxx.com”。

圖2 在分支機(jī)構(gòu)安裝RODC域控

為了降低網(wǎng)絡(luò)負(fù)擔(dān)，可以使用安裝介質(zhì)來(lái)快速?gòu)?fù)制Active Directory數(shù)據(jù)庫(kù)。方法是，以域管理員身份登錄到正常域控上，在命令提示符窗口中執(zhí)行“ntdsutil”命令，之后執(zhí)行“active instance ntds”命令，將域控的AD DS數(shù)據(jù)庫(kù)設(shè)置為使用中。依次執(zhí)行“ifm”，“create sysvol rodc c:adfolder”，“quit”，“quit”命令，制作供RODC使用的安裝介質(zhì)，存儲(chǔ)位置為“c:adfolder”。 其 中的“sysvol”參數(shù)表示包含“ntds.dit”和SYSVOL的對(duì)象。將“c:adfolder”目錄的內(nèi)容復(fù)制到優(yōu)盤(pán)等介質(zhì)上，或者存儲(chǔ)到共享路徑中。在分支機(jī)構(gòu)中安裝RODC服務(wù)器，具體操作基本相同，所不同的是在安裝界面的“其他選項(xiàng)”窗口中需要選擇“從介質(zhì)安裝”項(xiàng)，點(diǎn)擊選擇按鈕，選擇上述安裝介質(zhì)，就可以快速?gòu)?fù)制Active Directory數(shù)據(jù)庫(kù)了。

驗(yàn)證RODC域控

部署完RODC服務(wù)器后，在主域控上打開(kāi)Active Directory用戶和計(jì)算機(jī)窗口，在左側(cè)選擇“Domain Controllers”容器，在右側(cè)顯示所有的域控信息，對(duì)于只讀域控，在“DC類(lèi)型”列中會(huì)顯示“只讀，GC”之類(lèi)的信息。如果在左側(cè)的域名節(jié)點(diǎn)上點(diǎn)擊右鍵，在彈出菜單上點(diǎn)擊“更改域控制器”項(xiàng)，在彈出窗口窗口中選擇“此域控制器會(huì)AD LDS實(shí)例”項(xiàng)，在列表中選擇上述名為“zdfz.xxx.com”的 RODC主機(jī)，系統(tǒng)會(huì)提示“選擇的域控制器是只讀域控制器，將不能執(zhí)行任何寫(xiě)入操作”的信息。之后雖然可以連接到該RODC主機(jī)，但是所有的和寫(xiě)操作相關(guān)的菜單項(xiàng)目均無(wú)法使用，例如執(zhí)行委派控制、提升域功能級(jí)別、更改操作主機(jī)、創(chuàng)建賬戶等動(dòng)作均無(wú)法實(shí)現(xiàn)。

管理RODC域控

因?yàn)镽ODC域控本地的活動(dòng)目錄數(shù)據(jù)庫(kù)默認(rèn)為只讀屬性，不能存儲(chǔ)賬戶的密碼，為了管理上的便利，域管理員可以根據(jù)實(shí)際實(shí)際為分支機(jī)構(gòu)中的RODC服務(wù)器緩存對(duì)應(yīng)的賬戶密碼。以域管理員身份登錄主域控制器，在Active Directory用戶和計(jì)算機(jī)窗口左側(cè)選擇“Domain Controllers”容器，在右側(cè)選擇目標(biāo)RODC域控，在屬性窗口（如圖3）中的“密碼輔助策略”面板中顯示默認(rèn)的策略項(xiàng)目。

點(diǎn)擊“高級(jí)”按鈕，在打開(kāi)窗口中的“策略使用率”面板中的“顯示滿足下列條件的用戶和計(jì)算機(jī)”列表中選擇“密碼已存儲(chǔ)在只讀域控制器中的賬戶”項(xiàng)，在“用戶和計(jì)算機(jī)”列表中顯示已經(jīng)發(fā)布的賬戶信息，該列表中的賬戶密碼是允許緩存到該RODC域控中的。RODC域控是無(wú)法直接創(chuàng)建賬戶的，域管理員必須先為之創(chuàng)建好所需的賬戶，之后發(fā)布到目標(biāo)RODC域控上，該賬戶才可以在RODC上進(jìn)行登錄驗(yàn)證。

圖3 RODC屬性窗口

在上述“密碼輔助策略”面板中點(diǎn)擊“添加”按鈕，在打開(kāi)窗口中選擇“允許該賬戶的密碼復(fù)制到此RODC中”項(xiàng)，在下一步窗口中輸入對(duì)應(yīng)的賬戶名稱(chēng)，點(diǎn)擊“檢查名稱(chēng)”按鈕，檢測(cè)其是否合法。點(diǎn)擊確定按鈕，就可以將該賬戶添加進(jìn)來(lái)了。當(dāng)RODC域控部署完畢后，會(huì)創(chuàng)建名為“Allowed RODC Password Replication group”組，屬于全局安全組。因此，只要將對(duì)應(yīng)的賬戶添加到該組中，也可以實(shí)現(xiàn)同樣的效果。雙擊“密碼輔助策略”面板中的該組名稱(chēng)，在屬性窗口中的“成員”面板中點(diǎn)擊添加按鈕，按照上述方法，將所需的賬戶添加進(jìn)來(lái)即可。

如果RODC域控和總部網(wǎng)絡(luò)斷開(kāi)連接，為了保證分支機(jī)構(gòu)用戶順利登錄，需要使用預(yù)設(shè)密碼機(jī)制，將對(duì)應(yīng)賬戶和其使用的主機(jī)賬戶復(fù)制到RODC中即可，但前提是必須將對(duì)應(yīng)的賬戶和主機(jī)添加到上述允許列表中。在目標(biāo)RODC域控屬性窗口中的“密碼輔助策略”面板中點(diǎn)擊“高級(jí)”按鈕，在打開(kāi)窗口中的“策略使用率”面板中點(diǎn)擊“預(yù)設(shè)密碼”按鈕，輸入對(duì)應(yīng)賬戶和主機(jī)名（例如“user1@xxx.com;pc1”等），點(diǎn)擊確定按鈕，當(dāng)出現(xiàn)“已成功預(yù)填充所有賬戶的密碼”信息，說(shuō)明操作成功。

注意，如果分支機(jī)構(gòu)的RODC域控出現(xiàn)可疑情況需要?jiǎng)h除，可以在總部域控的Active Directory用戶和計(jì)算機(jī)窗口中選擇該RODC域控，在右鍵菜單上點(diǎn)擊“刪除”項(xiàng)，在警告窗口中選擇“重置此只讀域控制器上緩存的用戶賬戶的所有密碼”和“重置此只讀域控制器上緩存的計(jì)算機(jī)賬戶的所有密碼”項(xiàng)，緩存到RODC上的賬戶和計(jì)算機(jī)密碼就會(huì)被隨機(jī)修改，并且會(huì)丟失和主域之間的信任關(guān)系，這樣就無(wú)法訪問(wèn)域環(huán)境了。