RODC

操作系统中的一种域控制器

只读域控制器 (RODC) 是 Windows Server 2008 操作系统中的一种新类型的域控制器。借助 RODC，组织可以在无法保证物理安全性的位置中轻松部署域控制器。RODC 承载 Active Directory域服务 (AD DS) 数据库的只读分区。

产品简介

设计 RODC 主要是为了在分支机构环境中部署。分支机构通常用户相对较少，物理安全性差，连接中线站点的网络带宽也相对较低，并且缺乏本地 IT 知识。

RODC 分支机构环境。

在 Windows Server 2008 发布之前，如果用户必须通过广域网 (WAN) 对域控制器进行身份验证，则没有合适的替代方案。在许多情况下，这不是一个有效的解决方案。分支机构通常不能为可写域控制器提供所需的充分的物理安全性。此外，当分支机构连接到中心站点时，其网络带宽状况通常较差。这可能增加登录所需的时间。它还可能妨碍对网络资源的访问。

从 Windows Server 2008 开始，组织可以部署 RODC 来解决这些问题。因此，用户在此情况下可以获得以下好处：

提高的安全性

更快的登录速度

更有效地访问网络上的资源

有关 RODC 的详细信息，请参阅只读域控制器 (RODC) 计划和部署指南

作用

物理安全性不足是考虑部署 RODC 的最常见原因。RODC 提供了一种在要求快速、可靠的身份验证服务但不能确保可写域控制器的物理安全性的位置中更安全地部署域控制器的方法。

但是，您的组织也可选择根据特殊管理要求部署 RODC。例如，行业 (LOB) 应用程序只有在安装在域控制器上的情况下，才可以成功运行。或者，域控制器可能是分支机构中唯一的服务器，并且可能必须承载服务器应用程序。

在这种情况下，LOB 应用程序的所有者必须经常以交互方式登录到域控制器，或使用终端服务配置和管理应用程序。此情况产生了在可写域控制器上可能无法接受的安全风险。

RODC 为在此方案中部署域控制器提供了更安全的机制。您可以向非管理域用户授予登录到 RODC 的权限，同时最小化 Active Directory 林的安全风险。

还可以在其他方案中部署 RODC，例如，Extranet 或面向应用程序的角色中，其中本地存储的所有域用户密码是主要威胁。

特性

谁会对该功能感兴趣

RODC 主要设计用于部署在远程或分支机构环境中。分支机构通常具有以下特性：

相对较少的用户

物理安全性差

到中心站点的网络带宽相对较差

对信息技术 (IT) 的了解很少

如果您属于以下组别，则应关注本部分以及有关 RODC 的附加支持文档：

从技术方面评估该产品的 IT 计划者和分析者

各组织的企业 IT 计划者和设计者

负责 IT 安全的人员

管理小型分支机构的 AD DS 管理员

注意事项

是否有其他特殊注意事项

若要部署 RODC，在域中至少有一个可写域控制器必须运行 Windows Server 2008。此外，域和林的功能性的级别必须是 Windows Server 2003 或更高版本。

有关部署 RODC 的先决条件的详细信息，请参阅部署此功能应做哪些准备工作？

用途

此功能提供了哪些新用途

RODC 解决了分支机构中的一些常见问题。这些位置可能没有域控制器。或者，这些位置可能具有可写域控制器，但是不具备支持它的物理安全性、网络带宽或本地专业知识。以下 RODC 功能将有助于改善这些问题：

只读 AD DS 数据库

单向复制

凭据缓存

管理员角色分隔

只读域名系统 (DNS)

只读 AD DS 数据库

除帐户密码之外，RODC 保存了可写域控制器所保留的所有 Active Directory 对象和属性。但是，不能对存储在 RODC 上的数据库进行更改。更改必须在可写域控制器上进行，然后复制回 RODC。

请求对目录的读取访问的本地应用程序可以获取访问权限。请求写入访问的轻型目录应用程序协议 (LDAP) 应用程序将接收 LDAP 引用响应。此响应将其定向到可写域控制器（一般在中心站点中）。

RODC 筛选的属性集

某些将 AD DS 用作数据存储的应用程序可能具有不希望存储在 RODC 上的类似凭据的数据（例如密码、凭据或加密密钥），以防 RODC 的安全受到危害。

对于这些类型的应用程序，可以在架构中为将不会复制到 RODC 的域对象动态配置一组属性。这组属性称为 RODC 筛选的属性集。在 RODC 筛选的属性集中定义的属性不允许复制到林中的任何 RODC。

威胁 RODC 的恶意用户可以尝试采用这种方式对其进行配置，以试图复制在 RODC 筛选的属性集中定义的属性。如果 RODC 尝试从运行 Windows Server 2008 的域控制器复制这些属性，则复制请求会被拒绝。但是，如果 RODC 尝试从运行 Windows Server 2003 的域控制器复制属性，则复制请求可能成功。

因此，出于安全考虑，如果您计划配置 RODC 筛选的属性集，请确保林功能级别为 Windows Server 2008。当林功能级别为 Windows Server 2008 时，无法以这种方式使用受到威胁的 RODC，因为林中不允许运行 Windows Server 2003 的域控制器。

不得将系统关键属性添加到 RODC 筛选的属性集。如果一个属性是 AD DS、本地安全机构 (LSA)、安全帐户管理器 (SAM) 和 Microsoft 特定的安全服务提供程序接口 (SSPI)（例如 Kerberos）正常工作所要求的，则该属性是系统关键属性。系统关键属性的 schemaFlagsEx 属性值等于 1 (schemaFlagsEx attribute value & 0x1 = TRUE)。

RODC 筛选的属性集在保存架构操作主机角色的服务器上进行配置。当架构主机主机上的 RODC 筛选的属性集，则操作看起来成功，但实际上属性未添加。因此，在将属性添加到 RODC 筛选的属性集时，建议架构主机为 Windows Server 2008 域控制器。这确保在 RODC 筛选的属性集中不包括系统关键的属性。

单向复制

因为不会将更改直接写入 RODC，不会有更改源自 RODC。相应地，作为复制合作伙伴的可写域控制器不必从 RODC 拉进更改。这意味着恶意用户在分支位置可能进行的任何更改或损坏不能从 RODC 复制到林的其余部分。这也减少了集线器中桥头服务器的工作负荷以及监视复制所需的努力。

RODC 单向复制同时适用于 AD DS 和 SYSVOL 的分布式文件系统 (DFS) 复制。针对 AD DS 和 SYSVOL 更改，RODC 执行正常的入站复制。

备注：RODC 上配置为使用 DFS 复制进行复制的任何其他共享都将采用双向复制。

凭据缓存

凭据缓存指用户或计算机凭据的存储。凭据由与安全主体相关的一组大约 10 个密码组成。默认情况下，RODC 不存储用户或计算机凭据。例外情况为 RODC 的计算机帐户和每个 RODC 具有的特殊 krbtgt 帐户。您必须明确允许任何其他凭据在 RODC 上缓存。

RODC 作为分支机构的密钥发行中心 (KDC) 播发。当 RODC 对票证授予票证 (TGT) 请求进行签名或加密时，它使用与可写域控制器上的 KDC 使用的帐户和密码不同的 krbtgt 帐户和密码。

在帐户成功经过身份验证后，RODC 将尝试与中心站点中的可写域控制器联系并请求获取相应凭据的副本。可写域控制器可以识别出请求来自某个 RODC 并查询对该 RODC 有效的密码复制策略。

密码复制策略确定是否可以将用户凭据或计算机凭据从可写域控制器复制到 RODC。如果密码复制策略允许复制凭据，则可写域控制器将凭据复制到 RODC，然后 RODC 缓存凭据。

在 RODC 上缓存凭据之后，RODC 就可以直接服务该用户的登录请求，直到凭据更改。（当使用 RODC 的 krbtgt 帐户对 TGT 签名时，RODC 将识别出它具有凭据的缓存副本。如果其他域控制器对 TGT 签名，则 RODC 将请求转发到可写域控制器。）

通过将凭据缓存仅限于通过 RODC 验证身份的用户，通过危害 RODC 而使凭据泄露的可能性也得到限制。通常，在任何给定的 RODC 上只缓存一小部分域用户的凭据。因此，如果出现 RODC 被窃的情况，只有 RODC 上缓存的那些凭据可能会被破解。

保持凭据缓存处于禁用状态可能进一步限制泄露，但它将导致所有身份验证请求被转发到可写域控制器。管理员可以修改默认密码复制策略以允许在 RODC 上缓存用户凭据。

管理员角色分隔

可以将 RODC 的本地管理权限委托给任何域用户，而无需授予该用户对该域或其他域控制器的任何用户权限。这允许本地分支用户登录到 RODC 并在服务器上执行维护工作（例如升级驱动程序）。但是，分支用户不能登录到任何其他域控制器或在域中执行任何其他管理任务。以此方式，分支用户可以被委派在分支机构中有效地管理 RODC 的能力，而不会危害域的其余部分的安全。

只读 DNS

可以在 RODC 上安装 DNS 服务器服务。RODC 能够复制 DNS 使用的所有应用程序目录分区（包括 ForestDNSZones 和 DomainDNSZones）。如果已在 RODC 上安装了 DNS 服务器，则客户端可以与查询任何其他 DNS 服务器一样，查询该 DNS 服务器以进行名称解析。

但是，RODC 上的 DNS 服务器是只读的，所以并不直接支持客户端更新。有关 DNS 服务器在 RODC 上如何处理 DNS 客户端更新的详细信息，请参阅位于 RODC 站点的客户端的 DNS 更新。

设置

添加或更改了哪些设置

为了支持 RODC 密码复制策略，Windows Server 2008 AD DS 包含了新的属性。密码复制策略是一种机制，用于确定是否允许将用户或计算机的凭据从可写域控制器复制到 RODC。在运行 Windows Server 2008 的可写域控制器上始终设置密码复制策略。

在 Windows Server 2008 Active Directory 架构中为支持 RODC 而添加的 AD DS 属性包括以下内容：

msDS-Reveal-OnDemandGroup msDS-NeverRevealGroup msDS-RevealedList msDS-AuthenticatedToAccountList 有关这些属性的详细信息，请参阅 RODC 计划和部署指南

准备

部署此功能应做哪些准备工作

部署 RODC 的先决条件如下所示：

RODC 必须将身份验证请求转发到运行 Windows Server 2008 的可写域控制器。在此域控制器上设置了密码复制策略，以确定是否为从 RODC 转发的请求将凭据复制到分支位置。域功能性的级别必须是 Windows Server 2003 或更高版本，以便可以使用 Kerberos 受限制的委派。受限制的委派用于必须在调用方的上下文中模拟的安全调用。林功能性的级别必须是 Windows Server 2003 或更高版本，以便可以使用链接值复制。这提供了更高级别的复制一致性。在林中必须运行一次 adprep /rodcprep 以更新在林中的所有 DNS 应用

全国各地天气预报查询

上海市

云南省

云南省

云南省

云南省

云南省