某些將 AD DS 用作數據存儲的應用程序可能具有不希望存儲在 RODC 上的類似憑據的數據（例如密碼、憑據或加密密鑰），以防 RODC 的安全受到危害。對于這些類型的應用程序，可以在架構中為將不會復制到 RODC 的域對象動態(tài)配置一組屬性。這組屬性稱為 RODC 篩選的屬性集。在 RODC 篩選的屬性集中定義的屬性不允許復制到林中的任何 RODC。從而保證了應用程序的安全性。

但是威脅 RODC 的惡意用戶可能嘗試采用這種方式對其進行配置，以試圖復制在 RODC 篩選的屬性集中定義的屬性。如果 RODC 嘗試從運行 Windows Server 2008 的域控制器復制這些屬性，則復制請求會被拒絕。但是，如果 RODC 嘗試從運行 Windows Server 2003 的域控制器復制屬性，則復制請求可能成功。 因此，出于安全考慮，如果您計劃配置 RODC 篩選的屬性集，請確保林功能級別為 Windows Server 2008。當林功能級別為 Windows Server 2008 時，無法以這種方式使用受到威脅的 RODC，因為林中不允許運行 Windows Server 2003 的域控制器。

不得將系統關鍵屬性添加到 RODC 篩選的屬性集。如果一個屬性是 AD DS、本地安全機構 (LSA)、安全帳戶管理器 (SAM) 和 Microsoft 特定的安全服務提供程序接口 (SSPI)（例如 Kerberos）正常工作所要求的，則該屬性是系統關鍵屬性。系統關鍵屬性的 schemaFlagsEx 屬性值等于 1 (schemaFlagsEx attribute value & 0x1 = TRUE)。

RODC 篩選的屬性集在保存架構操作主機角色的服務器上進行配置。當架構主機運行 Windows Server 2008 時，如果嘗試將系統關鍵的屬性添加到 RODC 篩選集，則服務器將返回 "unwillingToPerform" LDAP 錯誤。如果嘗試將系統關鍵的屬性添加到在 Windows Server 2003 架構主機上的 RODC 篩選的屬性集，則操作看起來成功，但實際上屬性未添加。因此，在將屬性添加到 RODC 篩選的屬性集時，建議架構主機為 Windows Server 2008 域控制器。這確保在 RODC 篩選的屬性集中不包括系統關鍵的屬性。

憑據緩存指用戶或計算機憑據的存儲。憑據由與安全主體相關的一組大約 10 個密碼組成。默認情況下，RODC 不存儲用戶或計算機憑據。例外情況為 RODC 的計算機帳戶和每個 RODC 具有的特殊 krbtgt 帳戶。您必須明確允許任何其他憑據在 RODC 上緩存。

在帳戶成功經過身份驗證后，RODC 將嘗試與中心站點中的可寫域控制器聯系并請求獲取相應憑據的副本?？蓪懹蚩刂破骺梢宰R別出請求來自某個 RODC 并查詢對該 RODC 有效的密碼復制策略。密碼復制策略確定是否可以將用戶憑據或計算機憑據從可寫域控制器復制到 RODC。如果密碼復制策略允許復制憑據，則可寫域控制器將憑據復制到 RODC，然后 RODC 緩存憑據。

在 RODC 上緩存憑據之后，RODC 就可以直接服務該用戶的登錄請求，直到憑據更改。（當使用 RODC 的 krbtgt 帳戶對 TGT 簽名時，RODC 將識別出它具有憑據的緩存副本。如果其他域控制器對 TGT 簽名，則 RODC 將請求轉發(fā)到可寫域控制器。）

通過將憑據緩存僅限于通過 RODC 驗證身份的本地分支機構用戶，通過危害 RODC 而使憑據泄露的可能性也得到限制。通常，在任何給定的 RODC 上只緩存一小部分域用戶的憑據。因此，如果出現 RODC 被竊的情況，只有 RODC 上緩存的那些分支用戶的憑據可能會被破解。

保持憑據緩存處于禁用狀態(tài)可能進一步限制泄露，但它將導致所有身份驗證請求被轉發(fā)到可寫域控制器，這會使用戶登錄緩慢，并增加了WAN的網絡流量。管理員可以修改默認密碼復制策略以允許在 RODC 上緩存用戶憑據。

可以將 RODC 的本地管理權限委托給任何域用戶，而無需授予該用戶對該域或其他域控制器的任何用戶權限。這允許本地分支用戶登錄到 RODC 并在服務器上執(zhí)行維護工作（例如升級驅動程序）。但是，分支用戶不能登錄到任何其他域控制器或在域中執(zhí)行任何其他管理任務。以此方式，分支用戶可以被委派在分支機構中有效地管理 RODC 的能力，而不會危害域的其余部分的安全。

可以在 RODC 上安裝 DNS 服務器服務。RODC 能夠復制 DNS 使用的所有應用程序目錄分區(qū)（包括 ForestDNSZones 和 DomainDNSZones）。如果已在 RODC 上安裝了 DNS 服務器，則客戶端可以與查詢任何其他 DNS 服務器一樣，查詢該 DNS 服務器以進行名稱解析。 但是，RODC 上的 DNS 服務器是只讀的，所以并不直接支持客戶端更新。有關 DNS 服務器在 RODC 上如何處理 DNS 客戶端更新的詳細信息，請參閱位于 RODC 站點的客戶端的 DNS 更新。

為了支持 RODC 密碼復制策略，Windows Server 2008 AD DS 包含了新的屬性。密碼復制策略是一種機制，用于確定是否允許將用戶或計算機的憑據從可寫域控制器復制到 RODC。在運行 Windows Server 2008 的可寫域控制器上始終設置密碼復制策略。

若要部署 RODC，在域中至少有一個可寫域控制器必須運行 Windows Server 2008。此外，域和林的功能性的級別必須是 Windows Server 2003 或更高版本。 正如前文提到的原因，域和林的功能性的級別最好都為Windows 2008 。

在上面我們討論了RODC的重要特性。尤其主要解決了分支機構中的一些常見問題。這些位置可能沒有域控制器?；蛘撸@些位置可能具有可寫域控制器，但是不具備支持它的物理安全性、網絡帶寬或本地專業(yè)知識。總結以上 RODC 功能，將有助于改善下面這些問題：

• 只讀 AD DS 數據庫

• 單向復制

• 憑據緩存

• 管理員角色分隔

• 只讀域名系統 (DNS)

部署 RODC 的先決條件如下所示：

• RODC 必須將身份驗證請求轉發(fā)到運行 Windows Server 2008 的可寫域控制器。在此域控制器上設置了密碼復制策略，以確定是否為從 RODC 轉發(fā)的請求將憑據復制到分支位置。應此網絡中需要至少一臺Windows Server 2008的可寫域控制器。

• 域功能性的級別必須是 Windows Server 2003 或更高版本，以便可以使用 Kerberos 受限制的委派。受限制的委派用于必須在調用方的上下文中模擬的安全調用。

• 林功能性的級別必須是 Windows Server 2003 或更高版本，以便可以使用鏈接值復制。這提供了更高級別的復制一致性。

• 在林中必須運行一次 adprep /rodcprep 以更新在林中的所有 DNS 應用程序目錄分區(qū)上的權限。以此方式，作為 DNS 服務器的所有 RODC 都將可以成功復制權限。

如何部署RODC，下面用截圖方式給以詳細介紹。
 
實驗環(huán)境：有兩臺安裝windows server 2008的機器，一臺安裝為ICSS.COM.CN的林中第一臺域控制器DCSRV1.ICSS.COM.CN,IP為10.0.0.1,同時也是DNS Server.另一臺機器為RODCSRV2,在工作組WORKGROUP內。IP為10.0.0.1,DNS Server指向10.0.0.1。

實驗目標：將RODCSRV2安裝為域ICSS.COM.CN的RODC。

實驗步驟：

1 先查看和確認DCSRV1和RODCSRV2的系統屬性和IP設置。

2 在RODCSRV2上測試是否能連通DCSRV1和實現DNS 解析。

 
3 在RODCSRV2上打開服務器管理器，點擊＂添加角色＂

 
點擊”下一步”

選中”Active Directory 域服務”，點擊”下一步”

點擊”下一步”。

點擊”安裝”。
 
安裝完畢，點擊”關閉”。

4 打開Active Direcotry 域和信任關系，右擊＂Active Directory 域和信任關系＂，點擊”提升林功能級別”

選擇＂windows server 2008＂，將林功能級別設為windows server 2008模式。


如果不設置林功能級別為＂windows server 2003＂以上模式，在之后的安裝中會發(fā)現”只讀域控制器（RODC）”不可選

5 在命令提示符下運行”dcpromo.exe”,點擊”下一步” 
 

點擊＂下一步＂

選中＂現有林＂和＂向現有域添加域控制器＂，點擊＂下一步＂

輸入ICSS.COM.CN和該的域管理員administrator及相應密碼。


選中ICSS.COM.CN域。點擊＂下一步＂

點擊＂下一步＂

選中”DNS服務器”和＂只讀域控制器(RODC)＂兩項，點擊＂下一步＂

入委派管理RODC的域用戶組，可略過。點擊＂下一步＂

點擊＂下一步＂

輸入目錄服務還原模式的Administrator密碼

點擊＂下一步＂

開始安裝服務

安裝完畢，點擊＂完成＂

點擊＂產即重新啟動＂

6 重新啟動后，打開＂Active Directory 用戶和計算機＂，展開＂Domain controller＂，可以看到有兩個域控制器DCSRV1和RODCSRV2,并且RODCSRV2為只讀DC,到此RODCSRV2安裝成功。

本文詳細介紹了Windows Server 2008中的最新技術RODC的優(yōu)點和特性，并通過截圖方式實現了RODC的安裝過程。希望對大家學習Windows Server 2008有所幫助。

hanrui