【求助】关于RODC的一些问题
之前的域环境只有一台2008 R2 的服务器作为域控制器( Z7 q( a5 P) ? X
要求所有机器在登陆时,如果域控制器不可用,则不允许登录。1 D+ p5 {1 Q4 X' a: j+ W
为了避免域控制器因为意外关闭而影响其他人正常工作,现在新加了一台RODC,同样也是2008R2版的系统做的: V' ]" p/ D* D/ R2 J- I
初衷是让域控出现故障时,域成员可以通过只读域控登录操作系统
G' C: T* I3 e- N8 W* O' P9 v( I. `/ D2 s2 j
我用做了3个虚拟机,两个2008 R2分别作为主域控和只读域控,另外一个WIN7作为成员计算机( {) a) l2 n# G& S' f, t7 U4 x
域策略设置了“交互式登录: 需要域控制器身份验证以进行解锁”为启用状态
- f5 \2 h6 f: B0 B4 Z0 m1 T“交互式登录: 之前登录到缓存的次数(域控制器不可用时)”为0次
1 M* W+ s# H8 }
9 |. n, s( @* X3 b J( k9 v域控和成员机器都强制刷新了域策略4 x6 @% {5 o D
( e9 B1 ?" E4 S% ~然后把主域控的网络断开,成员计算机重启以后登录,提示“目前没有可用的登录服务器处理请求”' e; I; g5 S7 ]8 c4 }0 m& |; ~: R' T
5 |; ?8 Z$ n( [" H; \如果将次要的DNS设置为RODC的话则提示“此工作站与主域之间的信任关系失败”: K f; j: |/ s% J, K2 h/ g
3 Q3 c E5 Y5 b请教各位将如何正确配置主域控和只读域控以及成员PC?
要求所有机器在登陆时,如果域控制器不可用,则不允许登录。1 D+ p5 {1 Q4 X' a: j+ W
为了避免域控制器因为意外关闭而影响其他人正常工作,现在新加了一台RODC,同样也是2008R2版的系统做的: V' ]" p/ D* D/ R2 J- I
初衷是让域控出现故障时,域成员可以通过只读域控登录操作系统
G' C: T* I3 e- N8 W* O' P9 v( I. `/ D2 s2 j
我用做了3个虚拟机,两个2008 R2分别作为主域控和只读域控,另外一个WIN7作为成员计算机( {) a) l2 n# G& S' f, t7 U4 x
域策略设置了“交互式登录: 需要域控制器身份验证以进行解锁”为启用状态
- f5 \2 h6 f: B0 B4 Z0 m1 T“交互式登录: 之前登录到缓存的次数(域控制器不可用时)”为0次
1 M* W+ s# H8 }
9 |. n, s( @* X3 b J( k9 v域控和成员机器都强制刷新了域策略4 x6 @% {5 o D
( e9 B1 ?" E4 S% ~然后把主域控的网络断开,成员计算机重启以后登录,提示“目前没有可用的登录服务器处理请求”' e; I; g5 S7 ]8 c4 }0 m& |; ~: R' T
5 |; ?8 Z$ n( [" H; \如果将次要的DNS设置为RODC的话则提示“此工作站与主域之间的信任关系失败”: K f; j: |/ s% J, K2 h/ g
3 Q3 c E5 Y5 b请教各位将如何正确配置主域控和只读域控以及成员PC?
作者: zhdxkaiser 发布时间: 2011-11-14
域登录主要是检测DNS的SRV资源记录,您的RODC上集成DNS服务吗?! I# O% m2 x8 D) Y
如果集成,请把客户PC的DNS指向RODC就行了吧。
如果集成,请把客户PC的DNS指向RODC就行了吧。
作者: dhqlx 发布时间: 2011-11-14
你想让主域断开后,让RODC来认证用户的登录请求,必须有两个前提:
# e4 o; F' t) a& W* d1.用户的可以正常解析到RODC,就是说用户的DNS要为一个要用的DNS服务器,一般为主域和RODC,这种情况我下,你的DNS要两个,主的为主域,次要的为RODC,并且RODC上要有DNS服务。- I* Q5 _! ?- F8 O' I
2.要用GC来做认证,所以你的RODC也要开启GC的功能
# e4 o; F' t) a& W* d1.用户的可以正常解析到RODC,就是说用户的DNS要为一个要用的DNS服务器,一般为主域和RODC,这种情况我下,你的DNS要两个,主的为主域,次要的为RODC,并且RODC上要有DNS服务。- I* Q5 _! ?- F8 O' I
2.要用GC来做认证,所以你的RODC也要开启GC的功能
作者: hubuxcg 发布时间: 2011-11-14
是集成的DNS,跟主域控的DNS信息是一样的(貌似就是从主域控上拉过来的)
4 @7 d) b! R" z2 k; f3 U+ G客户端上的次要DNS设置的是RODC,主要DNS是主域控
4 @7 d) b! R" z2 k; f3 U+ G客户端上的次要DNS设置的是RODC,主要DNS是主域控
作者: zhdxkaiser 发布时间: 2011-11-14
DNS在RODC是有的,信息和主域控是一样的,哦不知道这样是不是正确的
/ O: Y3 L1 v5 m9 f- R7 T9 z7 ZDC类型显示的是 【只读,GC】 但是哦不知道怎么查看是否开启了GC功能。
/ O: Y3 L1 v5 m9 f- R7 T9 z7 ZDC类型显示的是 【只读,GC】 但是哦不知道怎么查看是否开启了GC功能。
作者: zhdxkaiser 发布时间: 2011-11-14
引用:
原帖由 zhdxkaiser 于 2011-11-14 15:47 发表 1 d/ u! K% {9 z% J4 g之前的域环境只有一台2008 R2 的服务器作为域控制器/ E( \# O2 J8 w. Y
要求所有机器在登陆时,如果域控制器不可用,则不允许登录。
6 X6 B: r$ m* g% b% k4 G; a; w+ T为了避免域控制器因为意外关闭而影响其他人正常工作,现在新加了一台RODC,同样也是2008R2版的系统做的
) F/ D! ~$ h: V! A4 X初衷 ...
6 Z/ c/ |# A0 h6 E/ ?; d/ @RODC是单向复制GC上的数据,只要主DC DOWN前,与主DC的数据做过同步,用户信息都复制过来,就可以验证!
作者: lzy821218 发布时间: 2011-11-14
引用:
原帖由 zhdxkaiser 于 2011-11-14 15:47 发表+ C# R/ F$ n6 E" h9 t) }之前的域环境只有一台2008 R2 的服务器作为域控制器- @. g5 T1 V+ N% G
要求所有机器在登陆时,如果域控制器不可用,则不允许登录。
# W' ^ `8 t" u$ m' f7 C% ^为了避免域控制器因为意外关闭而影响其他人正常工作,现在新加了一台RODC,同样也是2008R2版的系统做的
9 L- Q2 H0 j* l$ k初衷 ...
* w( O0 F% R' p: z; a5 N
之前没看完整。不建议楼主这样做,在主DC DOWN掉的时候,如果账户密码不可以缓存,RODC上也没有缓存的话,验证服务是会失败的!一般RODC都是与主DC一起使用的!RODC常用于分部!通过VPN与总部的主DC进行同步!总部是会有一台可写的DC做为额外DC的!所以RODC显然不能够做为额外DC,来实现冗余的!因为它上面没有FSMO角色,而且密码过期、账户锁定等功能也会在主DC故障时失效的!
作者: lzy821218 发布时间: 2011-11-14
哦,原来是这样的,如果我直接添加一台额外的域控制器是不是更好一点,相比RODC来说,如果我对于域控A做了修改,域控B是不是也会跟着修改呢,也就是说我这个操作是在两个预控上同时执行的么?还是说额外的域控也需要去和之前的域控去同步?
作者: zhdxkaiser 发布时间: 2011-11-14
引用:
原帖由 zhdxkaiser 于 2011-11-14 17:24 发表s) H2 }+ W4 K! X1 ~* N2 z哦,原来是这样的,如果我直接添加一台额外的域控制器是不是更好一点,相比RODC来说,如果我对于域控A做了修改,域控B是不是也会跟着修改呢,也就是说我这个操作是在两个预控上同时执行的么?还是说额外的域控也需要去和之前的域控 ...
作者: lzy821218 发布时间: 2011-11-14