36安装Windows网络操作系统

Windows网络操作系统的配置与管理单元一：安装windows操作系统单元二：安装与配置活动目录域服务单元三：管理用户和组单元四：配置和管理组策略单元五：配置与管理分布式文件系统单元六：配置与管理存储系统单元七：配置与管理打印服务器单元八：IP地址与配置方法单元九：配置与管理DHCP服务器单元十：配置与管理DNS服务器单元十一：配置与管理Web服务器单元十二：配置与管理WSUS服务器单元十三：配置与管理ADCS单元十四：配置路由与远程访问单元十五：配置网络策略服务和网络访问保护单元十六：配置IPSec保护网络通信单元二安装与配置活动目录域服务任务1安装活动目录域服务任务2安装子域控制器任务3安装RODC只读域控制器任务4创建与管理组织单位任务3安装只读域控制器一、课程导入二、知识原理2.1只读域控制器2.2只读域控制器的功能2.3准备安装RODC2.4安装RODC2.5委派RODC安装2.6密码复制策略三、演习安装RODC只读域控制器四、小结一、课程导入•在不安全的分支机构配置DC可能的最大危险是活动目录密码方面的潜在的风险。由于Windows2000Server和WindowsServer2003中的AD域控制器为每一个用户和计算机账户储存密码，因此，一旦Windows2000或Windows2003的域控制器受到威胁或被盗用，管理员就需要重新设置每一个账号密码(有时还不止一次)。如何解决分支办公室的安全呢？二、知识原理2.1只读域控制器2.2只读域控制器的功能2.3准备安装RODC2.4安装RODC2.5委派RODC安装2.6密码复制策略2.1只读域控制器•RODC：(readonlyDC）是windowsserver2008支持的一种新的域控制器类型。RODC承载ADDS数据库的只读分区。借助RODC,组织可以在无法保证物理安全性的位置中轻松部署域控制器，RODC将为用户提供本地域控制器，从而确保即使在连接总部的广域网链路不可用的情况下，仍然可登录应用组策略。•作用：设计RODC主要是为了在分支机构环境中部署。分支机构通常用户相对较少，物理安全性差，连接站点的网络带宽也相对较低，并且缺乏本地IT知识。RODC单向复制双向复制2.2只读域控制器的功能RODC提供：•单向复制：减少了恶意用户在分支位置所做的更改影响主域，同时减少分子负载•凭据缓存：默认RODC不存储用户或计算机凭据，如果启用可缩短用户登录•管理角色分离：将RODC本地管理员权限委派给用户，可对RODC进行维护。•只读DNS：在确保安全情形下，提高分支机构的域名解析效率•RODC筛选的属性集：可以为特殊应用程序配置一组不会复制到RODC的属性2.3准备安装RODC安装RODC之前的必需步骤：•确保域和林为WindowsServer2003功能级别•确保运行WindowsServer2008的可写域控制器可用于复制域分区•运行ADPrep/rodcprep使RODC能复制DNS分区•如果RODC将作为全局编录服务器，那么在所有域中运行ADPrep/domainprep2.4安装RODC选择在现有域中安装其他域控制器的选项1如果要配置密码复制策略，那么选择高级模式安装3选择从ActiveDirectory域服务安装向导中安装RODC的选项2要在服务器核心安装上安装RODC，可使用包含ReplicaOrNewDomain=ReadOnlyReplica值的无人参与安装文件2.5委派RODC安装为了委派RODC安装：•在DomainControllers容器中预先创建RODC计算机账户•为用户或组分配安装RODC的权限为了完成委派RODC安装，附带/UseExistingAccount:Attach开关运行DCPromo如果不委派安装管理，那么只有DomainAdmins组或EnterpriseAdmins组的成员可以完成RODC的安装。2.6密码复制策略•密码复制策略决定了RODC如何为通过身份验证的用户执行凭据缓存•默认情况下，RODC不缓存任何用户凭据或计算机凭据•不缓存凭据•在RODC上为指定用户启用凭据缓存配置密码复制策略的选项：•将用户或组添加到“域RODC密码复制允许的组”，这样凭据就可以缓存在所有RODC上三、演示安装RODC只读域控制器工作场景：你是时讯公司的网络管理员，时讯公司在总部刚刚成立了一个分支办公室，你计划在分子办公室安装部署一台只读域控制器，域名为shixun.com。实验环境：SH－SVR1SH－DC1ADDNS实验任务1.在AD中，预留RODC的计算机账户。2.以administrator身份登录nyc－svr1计算机3.修改计算机的名称为：tor-dc4.设置sh-svr1计算机的网络属性：IP地址：10.10.0.40子网掩码：255.255.0.0首选DNS：10.10.0.105.运行dcpromo/UseExistingAccount:Attach命令，创建shixun.com只读域控制器6.安装完成后检查安装结果。安装RODC只读域控制器演示：安装shixun.com只读域控制安装只读DNS配置凭据缓存四、小结学习完本章后，你能够：1.了解只读域控制器2.了解凭据缓存3.掌握安装RODC