RODC域控的功能特点

在内网中如果部署了多台普通域控，彼此之间是可以双向复制Active Directory数据库的，这样可以实现数据的高可用性。但是，RODC的管理员没有权限对活动目录数据库进行更改操作，只能从正常域控到RODC的单向复制动作。RODC是特殊的类型的域控，拥有AD DS域服务所有的对象和属性，在默认情况下，RODC不会存储账户密码，这可以有效提高分支机构的安全性。

但是这也显示了RODC的脆弱性，一旦正常域控出现问题，RODC将无法借此执行账户验证操作。在RODC上是可以安装DNS服务的，并且可以复制和DNS相关的所有应用程序目录分区中的数据，从而实现DNS解析功能。但是，它并不支持客户端直接更新DNS记录操作，所以RODC无法获取Active Directoy集成区域中注册的任何名称记录信息。对于普通的域账户来说，是可以成为RODC管理员的，可以在RODC所在的分支机构执行各种管理任务。RODC虽然可以当做全局编录服务器，但是却不能安装操作主机角色。

RODC密码复制策略模式

对于RODC来说，密码复制策略是很重要的，它可以将正常域控上的账户密码信息缓存到RODC中，该策略决定哪些账户允许缓存哪些不允许缓存。但是，域控管理员可以单独指定允许缓存的账户信息。在主域控上打开Active Directory用户和计算机窗口，在左侧选择“Users”容器，双击右侧的“Allowed RODC Password Replication Group”组，在属性窗口中的“成员”面板中显示允许缓存的账户列表，默认为空。如果在该组中添加账户，必须将对应账户以及使用的计算机账户一并添加进来。

双 击“Denied RODC Password Replication group”组，在属性窗口中的“成员”面板中显示禁止缓存的账户信息，默认包括Domain Admins、Enterprise Admins、Schema Admins、Cert Publishings等。密码缓存策略支持不缓存任何账户、缓存大多数账户、缓存少量账户等模式。第一种模式安全性最高，除了RODC本身的计算机账户和Krbtgt账户外，不会有别的账户密码缓存到RODC中。Krbtgt账户是特殊的Kerberos票据授权账户，正常域控利用该账户来验证RODC的身份。

第二种模式比较适用于较为安全的分支机构环境，可以将大多数的账户信息添加到允许列表中，但是不允许添加类似于Doamin Admins之类的敏感账户。该模式提供了简单的管理功能，允许在断开和总部的链接后，让缓存账户在RODC中顺利登录。第三种模式针对的是特定位置的RODC进行严格控制，让每台RODC只允许缓存一组特定的账户和计算机账户，并且允许脱机操作。当缓存了RODC的账户信息后，这些信息将保存在RODC的活动目录数据库中，但是当用户更改了密码后，对应的缓存密码将过期。如果更改了RODC的密码复制策略，也会导致缓存密码过期。

图1 预创建RODC账户

在总部创建RODC账户

在部署时，必须保证在域中存在至少一台正常的域控，在其上必须包含PDC操作主机角色。PDC主机的主要作用是可以兼容低版本的域控，PDC所在的域控可以优先成为主域控制器，拥有活动目录数据库优先复制的权限，PDC主机可以充当时间服务器的角色，域中的所有主机会和其进行对时。在使用组策略时，组策略编辑器会默认连接到PDC主机，防止组策略出现重复套用的情况。这里就以部署Windows Server 2012 只读域控为例进行说明。

RODC部署分为两步，首先由总部的域管理员创建RODC账户，之后再由分支机构内被委派的用户为RODC服务器附加附加上述账户。在总部由域系统管理员（即Domain Admins组中的用户）登录到主域控上，在Active Directory用户和计算机窗口选择左侧的“Domain Controllers”容器，在右键菜单上点击“预创建只读域控制器账户”项，在向导界面（如图1）中选择“使用高级模式安装”项，在下一步窗口中选择“我的当前登录凭据”项，点击下一步按钮，在指定计算机名窗口中输入RODC主机名称及其DNS计算机全名。

在下一步窗口中选择RODC域控所在的AD DS站名，点击下一步按钮，选择“DNS服务器”和“全局编录”项，在下一步窗口中执行密码复制策略，默认仅允许将“Allowed RODC Password Replication Group”组中的账户添加进来，该组默认为空。可以点击“添加”按钮，添加允许缓存的账户。点击下一步按钮，点击“设置”按钮，选择所需的账户（例 如“xxxwpuser”），该账户被委派执行后续的RODC域控安装操作。点击完成按钮，完成第一步配置。

分支机构安装RODC域控

在分支机构中登录到将要成为RODC域控的主机，在服务器管理器中点击“添加角色和功能”项，在向导界面中选择安装Active Directory域服务项，当安装完毕后，点击“将此服务器提升为域控制器”链接，在向导界面（如图2）中选择“将域控制器添加到现有域”项，输入具体的域名（例如“xxx.com”），点击“更改”按钮，输入上述委派的账户（例如“xxxwpuser”），点击下一步，因为计算机账户已经事先创建好，所以选择“使用现有RODC账户”。输入目录服务还原模式（DSRM）密码。点击下一步，会直接从其他任何一台域控上复制AD DS数据库，之后依次点击下一步，完成第二步安装操作。本例中RODC的域名为“zdfz.xxx.com”。

图2 在分支机构安装RODC域控

为了降低网络负担，可以使用安装介质来快速复制Active Directory数据库。方法是，以域管理员身份登录到正常域控上，在命令提示符窗口中执行“ntdsutil”命令，之后执行“active instance ntds”命令，将域控的AD DS数据库设置为使用中。依次执行“ifm”，“create sysvol rodc c:adfolder”，“quit”，“quit”命令，制作供RODC使用的安装介质，存储位置为“c:adfolder”。 其 中的“sysvol”参数表示包含“ntds.dit”和SYSVOL的对象。将“c:adfolder”目录的内容复制到优盘等介质上，或者存储到共享路径中。在分支机构中安装RODC服务器，具体操作基本相同，所不同的是在安装界面的“其他选项”窗口中需要选择“从介质安装”项，点击选择按钮，选择上述安装介质，就可以快速复制Active Directory数据库了。

验证RODC域控

部署完RODC服务器后，在主域控上打开Active Directory用户和计算机窗口，在左侧选择“Domain Controllers”容器，在右侧显示所有的域控信息，对于只读域控，在“DC类型”列中会显示“只读，GC”之类的信息。如果在左侧的域名节点上点击右键，在弹出菜单上点击“更改域控制器”项，在弹出窗口窗口中选择“此域控制器会AD LDS实例”项，在列表中选择上述名为“zdfz.xxx.com”的 RODC主机，系统会提示“选择的域控制器是只读域控制器，将不能执行任何写入操作”的信息。之后虽然可以连接到该RODC主机，但是所有的和写操作相关的菜单项目均无法使用，例如执行委派控制、提升域功能级别、更改操作主机、创建账户等动作均无法实现。

管理RODC域控

因为RODC域控本地的活动目录数据库默认为只读属性，不能存储账户的密码，为了管理上的便利，域管理员可以根据实际实际为分支机构中的RODC服务器缓存对应的账户密码。以域管理员身份登录主域控制器，在Active Directory用户和计算机窗口左侧选择“Domain Controllers”容器，在右侧选择目标RODC域控，在属性窗口（如图3）中的“密码辅助策略”面板中显示默认的策略项目。

点击“高级”按钮，在打开窗口中的“策略使用率”面板中的“显示满足下列条件的用户和计算机”列表中选择“密码已存储在只读域控制器中的账户”项，在“用户和计算机”列表中显示已经发布的账户信息，该列表中的账户密码是允许缓存到该RODC域控中的。RODC域控是无法直接创建账户的，域管理员必须先为之创建好所需的账户，之后发布到目标RODC域控上，该账户才可以在RODC上进行登录验证。

图3 RODC属性窗口

在上述“密码辅助策略”面板中点击“添加”按钮，在打开窗口中选择“允许该账户的密码复制到此RODC中”项，在下一步窗口中输入对应的账户名称，点击“检查名称”按钮，检测其是否合法。点击确定按钮，就可以将该账户添加进来了。当RODC域控部署完毕后，会创建名为“Allowed RODC Password Replication group”组，属于全局安全组。因此，只要将对应的账户添加到该组中，也可以实现同样的效果。双击“密码辅助策略”面板中的该组名称，在属性窗口中的“成员”面板中点击添加按钮，按照上述方法，将所需的账户添加进来即可。

如果RODC域控和总部网络断开连接，为了保证分支机构用户顺利登录，需要使用预设密码机制，将对应账户和其使用的主机账户复制到RODC中即可，但前提是必须将对应的账户和主机添加到上述允许列表中。在目标RODC域控属性窗口中的“密码辅助策略”面板中点击“高级”按钮，在打开窗口中的“策略使用率”面板中点击“预设密码”按钮，输入对应账户和主机名（例如“user1@xxx.com;pc1”等），点击确定按钮，当出现“已成功预填充所有账户的密码”信息，说明操作成功。

注意，如果分支机构的RODC域控出现可疑情况需要删除，可以在总部域控的Active Directory用户和计算机窗口中选择该RODC域控，在右键菜单上点击“删除”项，在警告窗口中选择“重置此只读域控制器上缓存的用户账户的所有密码”和“重置此只读域控制器上缓存的计算机账户的所有密码”项，缓存到RODC上的账户和计算机密码就会被随机修改，并且会丢失和主域之间的信任关系，这样就无法访问域环境了。