RODC

只讀域控制器 (RODC) 是 Windows Server 2008 操作系統中的一種新類型的域控制器。藉助 RODC，組織可以在無法保證物理安全性的位置中輕鬆部署域控制器。RODC 承載 Active Directory域服務 (AD DS) 數據庫的只讀分區。

設計 RODC 主要是為了在分支機構環境中部署。分支機構通常用户相對較少，物理安全性差，連接中線站點的網絡帶寬也相對較低，並且缺乏本地 IT 知識。

RODC 分支機構環境。 ^[1] 

在 Windows Server 2008 發佈之前，如果用户必須通過廣域網 (WAN) 對域控制器進行身份驗證，則沒有合適的替代方案。在許多情況下，這不是一個有效的解決方案。分支機構通常不能為可寫域控制器提供所需的充分的物理安全性。此外，當分支機構連接到中心站點時，其網絡帶寬狀況通常較差。這可能增加登錄所需的時間。它還可能妨礙對網絡資源的訪問。

從 Windows Server 2008 開始，組織可以部署 RODC 來解決這些問題。因此，用户在此情況下可以獲得以下好處：

提高的安全性

更快的登錄速度

更有效地訪問網絡上的資源

有關 RODC 的詳細信息，請參閲只讀域控制器 (RODC) 計劃和部署指南

物理安全性不足是考慮部署 RODC 的最常見原因。RODC 提供了一種在要求快速、可靠的身份驗證服務但不能確保可寫域控制器的物理安全性的位置中更安全地部署域控制器的方法。

但是，您的組織也可選擇根據特殊管理要求部署 RODC。例如，行業 (LOB) 應用程序只有在安裝在域控制器上的情況下，才可以成功運行。或者，域控制器可能是分支機構中唯一的服務器，並且可能必須承載服務器應用程序。

在這種情況下，LOB 應用程序的所有者必須經常以交互方式登錄到域控制器，或使用終端服務配置和管理應用程序。此情況產生了在可寫域控制器上可能無法接受的安全風險。

RODC 為在此方案中部署域控制器提供了更安全的機制。您可以向非管理域用户授予登錄到 RODC 的權限，同時最小化 Active Directory 林的安全風險。

還可以在其他方案中部署 RODC，例如，Extranet 或面向應用程序的角色中，其中本地存儲的所有域用户密碼是主要威脅。

RODC 主要設計用於部署在遠程或分支機構環境中。分支機構通常具有以下特性：

相對較少的用户

物理安全性差

到中心站點的網絡帶寬相對較差

對信息技術 (IT) 的瞭解很少

如果您屬於以下組別，則應關注本部分以及有關 RODC 的附加支持文檔：

從技術方面評估該產品的 IT 計劃者和分析者

各組織的企業 IT 計劃者和設計者

負責 IT 安全的人員

管理小型分支機構的 AD DS 管理員

若要部署 RODC，在域中至少有一個可寫域控制器必須運行 Windows Server 2008。此外，域和林的功能性的級別必須是 Windows Server 2003 或更高版本。

有關部署 RODC 的先決條件的詳細信息，請參閲部署此功能應做哪些準備工作？

RODC 解決了分支機構中的一些常見問題。這些位置可能沒有域控制器。或者，這些位置可能具有可寫域控制器，但是不具備支持它的物理安全性、網絡帶寬或本地專業知識。以下 RODC 功能將有助於改善這些問題：

只讀 AD DS 數據庫

單向複製

憑據緩存

管理員角色分隔

只讀域名系統 (DNS)

除帳户密碼之外，RODC 保存了可寫域控制器所保留的所有 Active Directory 對象和屬性。但是，不能對存儲在 RODC 上的數據庫進行更改。更改必須在可寫域控制器上進行，然後複製回 RODC。

請求對目錄的讀取訪問的本地應用程序可以獲取訪問權限。請求寫入訪問的輕型目錄應用程序協議 (LDAP) 應用程序將接收 LDAP 引用響應。此響應將其定向到可寫域控制器（一般在中心站點中）。

某些將 AD DS 用作數據存儲的應用程序可能具有不希望存儲在 RODC 上的類似憑據的數據（例如密碼、憑據或加密密鑰），以防 RODC 的安全受到危害。

對於這些類型的應用程序，可以在架構中為將不會複製到 RODC 的域對象動態配置一組屬性。這組屬性稱為 RODC 篩選的屬性集。在 RODC 篩選的屬性集中定義的屬性不允許複製到林中的任何 RODC。

威脅 RODC 的惡意用户可以嘗試採用這種方式對其進行配置，以試圖複製在 RODC 篩選的屬性集中定義的屬性。如果 RODC 嘗試從運行 Windows Server 2008 的域控制器複製這些屬性，則複製請求會被拒絕。但是，如果 RODC 嘗試從運行 Windows Server 2003 的域控制器複製屬性，則複製請求可能成功。

因此，出於安全考慮，如果您計劃配置 RODC 篩選的屬性集，請確保林功能級別為 Windows Server 2008。當林功能級別為 Windows Server 2008 時，無法以這種方式使用受到威脅的 RODC，因為林中不允許運行 Windows Server 2003 的域控制器。

不得將系統關鍵屬性添加到 RODC 篩選的屬性集。如果一個屬性是 AD DS、本地安全機構 (LSA)、安全帳户管理器 (SAM) 和 Microsoft 特定的安全服務提供程序接口 (SSPI)（例如 Kerberos）正常工作所要求的，則該屬性是系統關鍵屬性。系統關鍵屬性的 schemaFlagsEx 屬性值等於 1 (schemaFlagsEx attribute value & 0x1 = TRUE)。

RODC 篩選的屬性集在保存架構操作主機角色的服務器上進行配置。當架構主機運行 Windows Server 2008 時，如果嘗試將系統關鍵的屬性添加到 RODC 篩選集，則服務器將返回 "unwillingToPerform" LDAP 錯誤。如果嘗試將系統關鍵的屬性添加到在 Windows Server 2003 架構主機上的 RODC 篩選的屬性集，則操作看起來成功，但實際上屬性未添加。因此，在將屬性添加到 RODC 篩選的屬性集時，建議架構主機為 Windows Server 2008 域控制器。這確保在 RODC 篩選的屬性集中不包括系統關鍵的屬性。

因為不會將更改直接寫入 RODC，不會有更改源自 RODC。相應地，作為複製合作伙伴的可寫域控制器不必從 RODC 拉進更改。這意味着惡意用户在分支位置可能進行的任何更改或損壞不能從 RODC 複製到林的其餘部分。這也減少了集線器中橋頭服務器的工作負荷以及監視複製所需的努力。

RODC 單向複製同時適用於 AD DS 和 SYSVOL 的分佈式文件系統 (DFS) 複製。針對 AD DS 和 SYSVOL 更改，RODC 執行正常的入站複製。

備註：RODC 上配置為使用 DFS 複製進行復制的任何其他共享都將採用雙向複製。

憑據緩存指用户或計算機憑據的存儲。憑據由與安全主體相關的一組大約 10 個密碼組成。默認情況下，RODC 不存儲用户或計算機憑據。例外情況為 RODC 的計算機帳户和每個 RODC 具有的特殊 krbtgt 帳户。您必須明確允許任何其他憑據在 RODC 上緩存。

RODC 作為分支機構的密鑰發行中心 (KDC) 播發。當 RODC 對票證授予票證 (TGT) 請求進行簽名或加密時，它使用與可寫域控制器上的 KDC 使用的帳户和密碼不同的 krbtgt 帳户和密碼。

在帳户成功經過身份驗證後，RODC 將嘗試與中心站點中的可寫域控制器聯繫並請求獲取相應憑據的副本。可寫域控制器可以識別出請求來自某個 RODC 並查詢對該 RODC 有效的密碼複製策略。

密碼複製策略確定是否可以將用户憑據或計算機憑據從可寫域控制器複製到 RODC。如果密碼複製策略允許複製憑據，則可寫域控制器將憑據複製到 RODC，然後 RODC 緩存憑據。

在 RODC 上緩存憑據之後，RODC 就可以直接服務該用户的登錄請求，直到憑據更改。（當使用 RODC 的 krbtgt 帳户對 TGT 簽名時，RODC 將識別出它具有憑據的緩存副本。如果其他域控制器對 TGT 簽名，則 RODC 將請求轉發到可寫域控制器。）

通過將憑據緩存僅限於通過 RODC 驗證身份的用户，通過危害 RODC 而使憑據泄露的可能性也得到限制。通常，在任何給定的 RODC 上只緩存一小部分域用户的憑據。因此，如果出現 RODC 被竊的情況，只有 RODC 上緩存的那些憑據可能會被破解。

保持憑據緩存處於禁用狀態可能進一步限制泄露，但它將導致所有身份驗證請求被轉發到可寫域控制器。管理員可以修改默認密碼複製策略以允許在 RODC 上緩存用户憑據。

可以將 RODC 的本地管理權限委託給任何域用户，而無需授予該用户對該域或其他域控制器的任何用户權限。這允許本地分支用户登錄到 RODC 並在服務器上執行維護工作（例如升級驅動程序）。但是，分支用户不能登錄到任何其他域控制器或在域中執行任何其他管理任務。以此方式，分支用户可以被委派在分支機構中有效地管理 RODC 的能力，而不會危害域的其餘部分的安全。

可以在 RODC 上安裝 DNS 服務器服務。RODC 能夠複製 DNS 使用的所有應用程序目錄分區（包括 ForestDNSZones 和 DomainDNSZones）。如果已在 RODC 上安裝了 DNS 服務器，則客户端可以與查詢任何其他 DNS 服務器一樣，查詢該 DNS 服務器以進行名稱解析。

但是，RODC 上的 DNS 服務器是隻讀的，所以並不直接支持客户端更新。有關 DNS 服務器在 RODC 上如何處理 DNS 客户端更新的詳細信息，請參閲位於 RODC 站點的客户端的 DNS 更新。

為了支持 RODC 密碼複製策略，Windows Server 2008 AD DS 包含了新的屬性。密碼複製策略是一種機制，用於確定是否允許將用户或計算機的憑據從可寫域控制器複製到 RODC。在運行 Windows Server 2008 的可寫域控制器上始終設置密碼複製策略。

在 Windows Server 2008 Active Directory 架構中為支持 RODC 而添加的 AD DS 屬性包括以下內容：

msDS-Reveal-OnDemandGroup msDS-NeverRevealGroup msDS-RevealedList msDS-AuthenticatedToAccountList 有關這些屬性的詳細信息，請參閲 RODC 計劃和部署指南

部署 RODC 的先決條件如下所示：

RODC 必須將身份驗證請求轉發到運行 Windows Server 2008 的可寫域控制器。在此域控制器上設置了密碼複製策略，以確定是否為從 RODC 轉發的請求將憑據複製到分支位置。域功能性的級別必須是 Windows Server 2003 或更高版本，以便可以使用 Kerberos 受限制的委派。受限制的委派用於必須在調用方的上下文中模擬的安全調用。林功能性的級別必須是 Windows Server 2003 或更高版本，以便可以使用鏈接值複製。這提供了更高級別的複製一致性。在林中必須運行一次 adprep /rodcprep 以更新在林中的所有 DNS 應用