标签：

只读域控制器Read-Only Domain Controller简称RODC。RODC是Windows Server 2008之后引入的一勾当目录特性，与其他域控制器一样包罗AD数据库，但RODC默认不生存域用户账户暗码，并且RODC中包罗的数据库也是只读的；只能单向从其他可读写域控制器请求信息，但无法将变动信息同步到其他可写域控。RODC一般多用于企业分支机构（供职处、分公司、驻外站点等），考虑到人员数量及带宽运营本钱等，只读域控制器可简化区域无技术人员维护事情及人员投入本钱，便于打点，提高本地办公效率，同时可改进当地网络环境的安适性。

架构图：

RODC长处：

1.只读Active Directory勾当目录数据库，可降低因物理安适因素带来的网络安适威胁；

2.降低了网络之间复制负载，更有效的访谒网络资源；

3.根据缓存。可加速分支用户登录验证速度，降低系统在遭到粉碎时受影响用户范畴等(根据缓存是用户或者计算机根据的储存器。根据是由和安适主体关联的一小组约莫接近10个暗码的调集所构成。在默认情况下RODC不储存用户或者计算机根据。例外的情况是RODC自身的计算机账户以及每台RODC所有的特殊的krbtgt账户。你在RODC上必需显示允许其它任何根据缓存。

)；

4.打点员角色权限分隔断绝分手。可降低因分支打点员权限过大对整个勾当目录的威胁；

5.只读DNS。可选择性安置DNS处事，安置并同步DNS信息后可加快分支机构上网的响应时间，，但不会做动态更新，所有更新都是可读写域控制器DNS单向同步到RODC DNS处事器。

RODC错误谬误：

1.默认RODC不存储用户暗码，如可读写域控呈现问题，用户验证会呈现异常错误。

2.RODC对可读写域控依赖性太强，如同步的可读写域控呈现问题将直接影响RODC使用。

部署RODC的先决条件：

1.至少环境中需要一台Windows server 2008域控制器；

2.林成果级别需要是Windows server 2003或以上级别；

3.PDC(PDC Emulator)角色必需允许在Windows server 2008上;

4.整个环境中需要存在正常可读写的域控制器；

角色

 

主机名

 

IP地点

 

主域控

 

Major.azureyun.local

 

192.168.156.1

 

只读域控（RODC）

 

BRODC.azureyun.local

 

192.168.156.3

 

一：部署只读域控制器：

1.设置主机名及静态IP地点，指定主域控地点为首选DNS处事器地点：

2.通过命令行加域并重启该处事器：

netdom join %computername% /d:azureyun.local /userd:azureyun.local\administrator /passwordd:abc.123!

3.如果有需要，记得*防火墙：

4.添加域处事角色过程省略，直接开始正文，选择"将域控制器添加到现有域"，下一步继续：

5.勾选"域名系统(DNS)处事器""全局辑录(GC)""只读域控制器(RODC)"并输入目录还原模式暗码，单击下一步继续：

6.选择是否将暗码复制到RODC的账户，建议差别步域打点员组、系统、处事架构等组暗码复制，这里可自行设置，选择下一步继续：

7.选择从哪里同步复制：

8.指定AD DS数据库、日志文件和SYSVOL的日志存放位置：

9.确认已配置信息，点击下一步继续：