在這樣一個物理安全沒有得到保證，網(wǎng)絡質(zhì)量又不穩(wěn)定的情況，如何保證分支機構的業(yè)務能夠正常運轉(zhuǎn)，成為我們IT 管理部門很頭疼的一件事情。在windows server 2008 還沒有出來之前，我們只能把域控制器部署在公司總部，增加分支機構到總部的網(wǎng)絡帶寬來保證分支機構的業(yè)務正常進行，這樣用戶不得不跨廣域網(wǎng)連接域控制器進行身份驗證，這將導致登錄時間變長，阻礙網(wǎng)絡資源的訪問。在許多案例中，這不是有效的解決方法。那么windows server 2008 面世，又能給我們帶來什么解決方案呢？Windows Server 2008 改善了活動目錄域控制器的安全特性，采用了最激動人心的技術之一只讀域控制器(RODC)，這一嶄新的域控制器技術包含了大量特性，這些特性旨在提高分支機構地區(qū)活動目錄(AD)環(huán)境的整體安全性，為分支機構活動目錄數(shù)據(jù)安全提供有效的解決方案。
Windows Server 2008 活動目錄只讀域控制器具有只讀活動目錄數(shù)據(jù)庫、單向復制、憑據(jù)緩存、管理員角色分離、支持只讀DNS 這些特性，也就是這些特性保證了分支機構活動目錄數(shù)據(jù)安全，我們通過實驗的方式來直觀明了地解釋這些特性。
1、 部署RODC
在域中部署一臺RODC 的前提條件需要兩個：
a、林功能級別必須是 Windows Server 2003，以便可以使用鏈接值復制。這提供了更高級別的復制一致性。當然域功能級別也必須是 Windows Server 2003。

b、域中至少運行一個Windows Server 2008 的可寫域控制器。這為 RODC 提供了復制伙伴。

若要部署運行Windows Server 2008 的域控制器， 必須將 Windows Server 2008 安裝 DVD 上sourcesadprep 文件夾中的內(nèi)容復制到架構主機， 然后運行 adprep /forestprep 和adprep/domainprep /gpprep。
這里我們簡單以windows server 2008 域為例：

實驗簡單步驟：
Ø 在DC3 上安裝活動目錄
a、首先TCP/IP 屬性設置如下圖：
b、利用服務器管理器添加Active Directory 域服務角色
c、角色添加完成后，在命令提示符下輸入dcpromo
d、打開活動目錄安裝向?qū)В斎胄畔ⅲ?br />e、勾選DNS 服務器選項，接下來幾個對話框按默認值即可，最后安裝活動目錄，完成后重啟，
f、打開“Active Directory 用戶和計算機”管理工具，新建組織單位TEST，在該組織單位下新建用戶test001。

Ø 在DC4 上安裝只讀域控制器
a、在DC4 上設置TCP/IPS 屬性
b、利用服務器管理器添加Active Directory 域服務角色
c、角色添加完成后，在命令提示符下輸入dcpromo
d、打開活動目錄安裝向?qū)?，輸入信息?br />e、勾選DNS 服務器、全局編錄、只讀域控制器RODC 選項
f、接下來的幾個對話框選擇默認值即可，然后安裝完成后重新啟動。

Ø 將客戶端PC2-WIN7 加入域
a、首先設置TCP/IP 屬性，如下圖：
b、打開“系統(tǒng)屬性”對話框，選擇“計算機”選項卡
c、在“計算機”選項卡上，選擇“更改”，然后輸入contoso.com，成功加域后重啟系統(tǒng)。

Ø 驗證只讀活動目錄數(shù)據(jù)庫

a、在DC3 上打開“Active Directory 用戶和計算機”管理工具，展開域控制器組織單位，可以看到DC4 為只讀DC
b、在DC4 上打開“Active Directory 用戶和計算機”管理工具，右鍵點擊contoso.com 域，可以看到?jīng)]有可以創(chuàng)建對象的選項，說明無法在只讀域控制器上創(chuàng)建或修改對象，其數(shù)據(jù)庫是只讀的，這意味著無論是普通用戶還是管理員，都沒有權限通過只讀域控制器對活動目錄數(shù)據(jù)庫進行修改。

Ø 驗證單向復制
a、在DC3 上打開“Active Directory 站點和服務”管理工具，如下圖可以看到DC3 復制伙伴為空，DC4 復制伙伴為可寫域控制器DC3，說明只讀域控制器的數(shù)據(jù)庫必須從可寫域控制器上復制數(shù)據(jù)，可寫域控制器無法從只讀域控制器上復制數(shù)據(jù)，驗證了復制是單向的。
Ø 緩存分支機構憑據(jù)
a、在DC3 上，打開“Active Directory 用戶和計算機”管理工具，展開域控制器組織單位，打開DC4 只讀域控制器的屬性，查看密碼復制策略，默認只有一個允許密碼復制策略
b、在密碼復制策略對話框中，打開“高級”對話框，可以看到，只有默認的只讀域控制器計算機賬號和Kerberos 身份驗證賬號密碼被緩存到RODC，其他賬號密碼沒有存儲在RODC 上，保證了賬號的安全。
c、可以通過密碼復制策略來決定哪些用戶或計算機帳號密碼可以復制到RODC 上，這大大降低了遠程配置DC 的有關風險，因為它將有可能受到威脅的密碼數(shù)量縮減到了最少。添加一個允許密碼復制策略，允許將客戶機PC2-WIN7 計算機帳號及用戶帳號test001 密碼緩存到RODC上
d、在密碼復制策略對話框中，選擇“高級”，點擊“預設密碼”將用戶帳號test001 和計算機帳號PC2-WIN7 的密碼提前存儲到RODC 上
e、禁用DC3 的網(wǎng)卡，模擬網(wǎng)絡故障，用戶test001 第一次在客戶機PC-WIN7 上登錄，仍然能夠得到身份驗證，登錄網(wǎng)絡。說明只要設置合理，分支機構與總部的網(wǎng)絡中斷，客戶機仍能
夠在RODC 得到身份驗證；通過在這些辦公室中配置RODC，公司不用再在潛在不安全地區(qū)配置可寫域控制器，這樣就避免了公司暴露于固有的安全風險，也能減少遠程用戶的驗證次數(shù)。
f、測試完成后，重新啟用DC3 網(wǎng)卡。
Ø 管理員角色分離
由于分支機構沒有專門IT 部門，默認情況下，域中普通用戶無法登錄域控制器，如何讓域中普通用戶能對RODC 進行系統(tǒng)補丁升級、軟件更新等維護工作，而不需要賦予域管理員權限呢？其實我們只需要把普通用戶加入到RODC 本地管理員組就可以完成對RODC 的維護任務，如下步驟：
a、 以域管理員登錄RODC，在命令提示符下輸入dsmgmt，然后在dsmgmt 模式下輸入localroles 查看服務器上可進行的委派
b、 在local roles 模式下，輸入add contoso est001 administrators，可以看到“已成功更新本地角色”回應，說明成功把普通域用戶test001 加入到RODC 本地管理員組
c、 為了讓域用戶test001 能夠?qū)υ摲种C構進行活動目錄管理，例如：添加或刪除計算機帳號、添加或修改用戶帳號等，我們必須在可寫域控制器上對分支機構OU 進行委派控制，登錄DC3，假設分支機構OU 為TEST，右鍵點擊TEST，選擇委派控制，然后根據(jù)向?qū)нM行設置即可
d、 選擇委派控制的用戶和組，假設委派給用戶test001
e、 委派常見任務，最后完成設置
f、 以域用戶test001 登錄RODC，即DC4
g、 打開“Active Directory 用戶和計算機”管理工具，在TEST 組織單位下，可以新建用戶和組，實現(xiàn)對分支機構的活動目錄管理

Ø 驗證只讀DNS
a、 在RODC 上打開“DNS 服務器”管理工具，可以看到所有區(qū)域?qū)傩远际侵蛔x的，無法修改

Ø RODC 被盜如何處理
由于分支機構沒有專門ＩＴ機房，誰都能接觸到，物理安全沒有得到保證，萬一被盜了該怎么辦。應盡快從域中刪除此 RODC 帳戶并重置其當前密碼存儲在此 RODC 上的帳戶的密碼。其實
處理起來也很簡單，步驟如下：
a、 在DC3 上，使用“Active Directory 用戶和計算機”，用鼠標右鍵單擊Domain ControllerOU 中的RODC 計算機對象，然后選擇“刪除”
b、 為了安全考慮，應全部勾選復選框，但如果重置計算機帳戶密碼，則必須將計算機重新加入域。重置用戶帳戶密碼，用戶必須聯(lián)系帳戶管理員才能登錄域。

c、 之后“刪除域控制器”會要求您確認刪除請求。確認該請求正確，然后單擊“確定”以繼續(xù)進行刪除

總結：在分支機構物理安全沒法保證情況下，windows server 2008 的RODC 提供了一個很好的解決方案，通過其獨有的特性保證了分支機構活動目錄數(shù)據(jù)安全。

wangliang