Windows Server 2008 R2之七使用Ntdsutil删除对象

   来自不同域的RODC（注：不可以有来自于同一域的RODC）

   降低中央站点域控制器的负载。在安装RODC时您可以指定RODC和位于中央站点的特定的桥头服务器进行单向复制，这样降低了网络流量和用于复制的服务器资源使用。

   RODC做GC(全局编录)。您可以将RODC设置为GC，但是不能使RODC持有操作主控角色。

三、实现RODC的需求

   森林的功能级别需要为Windows Server 2003或以上。这样一个可以支持LVR复制以减少更新的丢失。LVR复制使得可以复制特定的值而不是复制包含一组值得属性。第二个可以支持强制委派（constrained delegation）。在RODC的场景中，有一个特殊的Kerberos 票据授权票 (KRBTGT)账户用于验证可读写DC和RODC之间的连接。该帐户在RODC上就拥有强制委派权限。

  至少一台Windows Server 2008的DC。

  如果只有一台Windows Server 2008 DC，此DC应该为PDC角色。

  应该在同一域中实现多台Windows Server 2008 DC,来实现RODC复制的负载平衡。

  一个域，一个站点只能拥有一台RODC。

四、密码复制策略

前面有提到RODC支持凭据缓存，但是RODC在发送凭据缓存请求到可读写DC时，可读写DC是通过密码复制策略来决定账户的密码是否可以被RODC缓存。

可以有以下几种选择。

1、不缓存账户。这个是默认设置。

   优点：

   最高的安全性

   快速的策略处理

   缺点：

   任何人都不可以离线访问

   在另外一个站点一定要有一台可读写DC用于登陆

2、  缓存大部分账户

   优点：

   很容易进行密码管理。我们只需要关注在管理RODC的安全而不是密码的安全。

   缺点：

   对于RODC来说，缓存的大部分的密码将是潜在的安全威胁。

3、 缓存少数特定的分支机构账户

   优点：

   保护了密码安全

   实现了用户离线访问

   缺点：

   您需要把每个计算机账户和用户账户映射到每个分支机构，在RODC的属性中可以查看哪些账户通过RODC进行身份验证，以此来决定有哪些账户是需要为该分支机构的，需要进行缓存。这是一个需要管理员交互式操作的过程，所以带来一定的管理成本增加。

实验环境：hbycrsj.com安装好一台可读写的DC：R2DC01和一台安装好windows 2008 r2独立服务器r2rodc

实验要求：将r2rodc安装为一台RODC

实验步骤

安装RODC

确保林功能级别为 Windows Server 2003 或更高版本的步骤1.打开“Active Directory 域和信任关系”。

2.在控制台树中，右键单击林的名称，然后单击“属性”。

3.在“林功能级别”下，验证值是 Windows Server 2003 还是 Windows Server 2008。

4.如果有必要提升林功能级别，请在控制台树中，右键单击“Active Directory 域和信任关系”，然后单击“提升林功能级别”。

5.在“选择一个可用的林功能级别”中，单击 Windows Server 2003，然后单击“提升”。

运行 adprep /rodcprep此步骤更新林中所有 DNS 应用程序目录分区上的权限。这允许它们被也是 DNS 服务器的所有 RODC 成功复制。若要运行 adprep /rodcprep，您必须是 Enterprise Admins 组的成员。

运行 adprep /rodcprep 的步骤1.以 Enterprise Admins 组成员的身份登录到域控制器。

2.将 Windows Server 2008 安装 DVD 中 \sources\adprep 文件夹的内容复制到架构主机。

3.打开命令提示符，将目录更改为 adprep 文件夹，键入以下命令，然后按 Enter：

adprep /rodcprep

运行dcpromo进行RODC安装

以下是几个重要的截图：（其它选择参加前面Wi

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!