iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 15
0
自我挑戰組

IT系統建置系列 第 15

IT系統建置--系統面建置(15)-RODC唯讀網域控制台建置

  • RODC稱為唯讀網域控制站,公司可能會分佈在各個不同的地點,雖然有些只是辦公室之類的小規模區域,但是若分佈的地點Client端數量約有數十台以上的話,建議可於該地點建置RODC站台,如此一來該區域設備就不需再透過與當地主要的DC進行網域上溝通及認證,另外也不需擔心若網域主控台放至於其它地點會有資安上的問題。

  • 擁有RODC的使用者僅可進行該站台本機的維護權限,是無法對網域內任何的物件進行變更的。

https://ithelp.ithome.com.tw/upload/images/20181028/20110771BFQHGJYAU8.jpg

  1. 首先預先建立唯讀網域控制站帳戶
    https://ithelp.ithome.com.tw/upload/images/20181028/20110771c2ojI0dnMV.jpg

  2. 下一步
    https://ithelp.ithome.com.tw/upload/images/20181028/201107712k5Hmv8AD2.jpg

  3. 輸入欲加入的RODC站台的電腦名稱
    https://ithelp.ithome.com.tw/upload/images/20181028/20110771VmLb4LSABt.jpg

  4. 下一步
    https://ithelp.ithome.com.tw/upload/images/20181028/20110771zC9UPFwj6C.jpg

  5. 先下一步即可
    https://ithelp.ithome.com.tw/upload/images/20181028/201107719t1XUjUeHu.jpg

  6. 加入MIS_RODC人員帳號
    https://ithelp.ithome.com.tw/upload/images/20181028/20110771lCHbeY1pUg.jpg

  7. RODC_SRV01就已登錄至Domain Controllers內 (目前為停用狀態)
    https://ithelp.ithome.com.tw/upload/images/20181028/20110771HGn5rQSURD.jpg

  8. 將RODC主機設定加入現有的網域
    https://ithelp.ithome.com.tw/upload/images/20181028/201107711Is4QJYLt0.jpg

  9. 輸入網域認證密碼
    https://ithelp.ithome.com.tw/upload/images/20181028/20110771MgXikrl58z.jpg

10.下一步
https://ithelp.ithome.com.tw/upload/images/20181028/20110771orDewdQDul.jpg

11.接下來就開始進行安裝
https://ithelp.ithome.com.tw/upload/images/20181028/20110771kg7214YfLM.jpg

12.至AD Domain Controllers內即可看到RODC_SRV01為唯讀GC
https://ithelp.ithome.com.tw/upload/images/20181028/20110771SQXymOOVaP.jpg

13.測試於RODC站台登入MIS_RODC帳號是無法進行新增或是修改…等操作,已達到我們要的需求 (DNS需指向RODC站台)
https://ithelp.ithome.com.tw/upload/images/20181028/20110771yHz6QfRIdk.jpg

  • 由於RODC唯讀控制站是無法複寫使用者密碼的,若是RODC與主要DC連線中斷,會導致外地的使用者出現無法正常登入的情況,這時可以將使用者及電腦加入可Allow passwords for the account to replicate to this RODC內,如此一來Client端就可以正常登入系統。

14.先將DC網路中斷,確定DC與RODC無法正常溝通
https://ithelp.ithome.com.tw/upload/images/20181028/20110771Np5l8MDic2.jpg

15.測試登入出現無法與Domain進行溝通的訊息 (就算是之前有登入過該Profile也是一樣的狀況)
https://ithelp.ithome.com.tw/upload/images/20181028/20110771bdKQiGseHF.jpg

16.至RODC_SRV01密碼複寫原則新增
https://ithelp.ithome.com.tw/upload/images/20181028/20110771d6ONyrlSAV.jpg

17.允許將帳戶密碼複寫至RODC
https://ithelp.ithome.com.tw/upload/images/20181028/20110771OJdzNLjieg.jpg

18.電腦名稱及使用者帳號都需要加入允許
https://ithelp.ithome.com.tw/upload/images/20181028/20110771ofkHELEQm0.jpg

19.至進階密碼複寫原則,將電腦名稱及使用者皆設定預先填入密碼
https://ithelp.ithome.com.tw/upload/images/20181028/20110771oxcrWGmYyA.jpg

20.測試將AD主站台網路中斷,外地Client端可與RODC驗證使用者資訊,即可正常登入系統 (172.16.0.51為主要網域站台IP)
https://ithelp.ithome.com.tw/upload/images/20181028/20110771sUMN8mzX6j.jpg

21.成功登入後可看到已通過該唯讀網域控制站驗證的資訊
https://ithelp.ithome.com.tw/upload/images/20181028/201107719VgCIFkY6f.jpg

下一篇Exchange 2010建置


上一篇
IT系統建置--系統面建置(14)-網域控制站建置
下一篇
IT系統建置--系統面建置(16)-Exchange建置
系列文
IT系統建置30

尚未有邦友留言

立即登入留言