[原创]windows server 2012 AD架构 试验 系列 – 19 RODC-阿里云开发者社区

开发者社区> 技术小大人> 正文

[原创]windows server 2012 AD架构 试验 系列 – 19 RODC

简介:
+关注继续查看

[原创]windows server 2012 AD架构 试验 系列 – 19 RODC

大家应该都知道windows 2008 r2针对DC做了功能上的加强:包括可重新启动的ADDS,AD回收站,只读域控制器,ADLDS(用于非域环境下基于目录的application)等

RODC它只可以对ADDB读取,不可修改,它的设计背景是在远程边端office来使用,且机房环境恶劣.

1-RODC特性:

1-复制ADDB

RODC会存储ADDS所有对象和属性,远程office的application能快速的访问ADDB的对象.

默认RODC不会存储用户和密码,因此验证用户名和密码也要发给可写DC来处理.

2-单向复制 unidirectional Replication,只存在RODC向可写DC复制数据,不会 存在可写DC向RODC复制数据,这样节省了带宽

3-认证缓存 Credential Caching,我们可以通过密码复制策略来设置可以被RODC缓存的帐户

4-系统管理员角色隔离 admintrator role separation

该角色只能在RODC上登入(不可以在其他DC登入),作一些管理工作,如更新程序等,也可以做一些分配工作,但不会危害到域安全.

5-只读域名系统 Read-only DNS

RODC会复制DNS服务器所有应用程序目录分区,不过RODC上的DNS服务器并不支持客户端直接动态更新.如果客户端要更新记录的话,RODC 的DNS服务会转发给其他DNS服务器.

2-创建RODC的条件:

1必须有一台可写的DC

2林和域的功能级别必须是windows server 2003 或 2003 R2以上

3如果是2003的架构,需要把林的架构和域的安全定义扩展到2008

3-创建RODC

一般步骤:

1新建RODC帐户,通常由总公司的domain admin来创建新建计算机帐户,设置选项,指定用户或组

2将服务器附加到RODC帐户

环境:DC7 192.168.70.1 (lab.com) 主DC 站点在SH, DC8 192.168.80.1 RODC 站点在HK

我们不能先把DC8 加入lab.com这个域

3.1我们在DC7 上预创建RODC帐户 总公司端操作 :

clip_image002

选择高级模式

clip_image004[4]

执行安装的权限

clip_image006[4]

指定计算机名

clip_image008[4]

选择站点

clip_image010[4]

RODC的角色

clip_image012[4]

设置密码复制策略, 默认group:

clip_image014[4]

clip_image016[4]

指定用户来安装配置RODC

clip_image018[4]

直接下一步完成

同时可以看到DC8在AD用户和计算机中显示的信息

clip_image020[4]

3.2将服务器附加到RODC帐户

现在我们要切换到分公司上的DC8 上面来操作了

在DC8 上添加ADDS服务,使用指定的帐户去安装RODC

clip_image022[4]

clip_image024[4]

用Alice 登入DC8

创建一个账号结果报错

clip_image026[4]

RODC一些其他小特性

首先RODC ADDB不能做快照,其次RODC不能担任任何操作主机角色,除了本地用户和特定组外,RODC是不会保存用户名和密码的

3.3实施在客户端上

一定要先做这个设置test1和test2两个用户放入到 allow 组里,同时WIN7 client 也要放到该组中

clip_image028[4]

先把预设下密码:

选择DC8 的属性

clip_image030[4]

clip_image032[4]

clip_image034[4]

检查结果:

clip_image036[4]

关闭DC7,在WIN7 client端上登入,最后显示验证时在DC8 上产生的

这里的主要重点就是管理员一定要先把用户和计算机client先预填充密码起.

clip_image038[4]

更改RODC的委派与密码复制策略

直接在DC7 上,选择DC8 的属性,可以更改管理者和密码复制策略

clip_image040[4]

如果DC8被黑客入侵,只要管理员在DC7 上删除DC8 就好.

clip_image042[4]

clip_image044[4]

clip_image046[4]

这样就可以摸掉以前缓存的帐户同时删除掉DC8


本文转自 bilinyee博客,原文链接:     http://blog.51cto.com/ericfu/1625073   如需转载请自行联系原作者


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
怎么设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程
6915 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
7758 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
5458 0
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
9426 0
腾讯云服务器 设置ngxin + fastdfs +tomcat 开机自启动
在tomcat中新建一个可以启动的 .sh 脚本文件 /usr/local/tomcat7/bin/ export JAVA_HOME=/usr/local/java/jdk7 export PATH=$JAVA_HOME/bin/:$PATH export CLASSPATH=.
2141 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
16829 0
951
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载