部署windows server 2008只读域控制器

server2008域控组策略Server 2008域控组策略是Windows Server 2008操作系统中用于管理和配置域内计算机和用户的一种强大工具。

通过域控组策略，系统管理员可以集中管理和控制域中的计算机和用户，确保网络的安全性和合规性。

本文将介绍Server 2008域控组策略的基本概念、功能和使用方法。

一、基本概念1.1 域控制器域控制器是指在Windows Server操作系统中运行域服务（Active Directory）的服务器。

域控制器存储和管理域中的所有用户账户、计算机账户、组策略等信息。

1.2 组策略组策略是一种在域控制器上创建和配置的一组设置，用于控制域中计算机和用户的行为。

组策略可以在域的不同层次上进行配置，如域级别、站点级别和组织单位级别。

二、功能2.1 安全性配置通过域控组策略，管理员可以配置密码策略、用户权限、网络安全性等设置，以确保域中计算机和用户的安全性。

例如，可以设置密码复杂度要求、账户锁定策略、防火墙设置等。

2.2 软件部署域控组策略还支持软件的自动部署和更新。

管理员可以通过组策略将特定的软件程序自动安装到域中的计算机上，或者更新已安装的软件。

这样可以提高软件的管理效率和一致性。

2.3 网络资源管理通过域控组策略，管理员可以配置网络资源的访问权限和管理策略。

例如，可以设置共享文件夹的访问权限、打印机的安装和配置、网络驱动器的映射等。

2.4 用户配置域控组策略还可以配置用户的桌面环境、任务栏设置、桌面壁纸等个性化设置。

管理员可以通过组策略为用户提供统一的工作环境，提高工作效率。

三、使用方法3.1 打开组策略管理器在域控制器上，可以通过“开始”菜单中的“管理工具”找到“组策略管理器”并打开。

3.2 创建和配置组策略在组策略管理器中，可以创建和配置不同的组策略对象。

可以右键点击“组策略对象”文件夹，选择“新建”来创建新的组策略对象；也可以右键点击已有的组策略对象，选择“编辑”来配置已有的组策略。

（C）1.公司有一个总部和一个分部。

你将运行Microsoft Windows Server 2008 的只读域控制器（RODC）部署在分部。

你需要确保分部的用户能够使用RODC登录到域。

你该怎么做？A．在分部在部署一个RODCB．在总部部署一台桥头服务器C．在RODC上配置密码复制策略D．使用“Active Directory 站点和服务”控制台减少所有连接对象的复制时间间隔（C）2.公司有一个总部和一个分部。

公司有一个单域的Active Directory 林。

总部有两个运行Windows Server 2008域控制器，并且分别名为DC1和DC2。

分部有一台Windows Server 2008 的只读域控制器（RODC），名为DC3。

所有域控制器都承担着DNS服务器角色，并都配置为Active Directory集成区域。

DNS区域只允许安全更新。

你需要在DC3上启用动态DNS 更新。

你该怎么做？A．在DC3上运行Ntdsutil.exe>DS Behavior命令。

B．在DC3上运行Dnscmd.exe/Zone Reset Type命令。

C．在DC3上将Active Directory域服务重新安装为可写域控制器D．在DC1上安装自定义应用程序目录分区。

配置该分区以存储Active Directory集成区域（AB）3．公司有一个Active Directory林，其中包含Windows Server 2003域控制器。

你需要准备Active Directory 域，以安装Windows Server 2008域控制器。

你应该执行哪两项任务？（每个正确答案表示解决方法的一部分。

请选择两个正确答案。

）A．运行adprep !forestprep命令B．运行adprep/domainprep命令C．将林功能级别提升为Windows Server 2008D．将域功能级别提升为Windows Server 2008（D）4．公司有一个Active Directory域。

5-2 创建Active Directory 域我们使用下图来介绍如何创建第1个林中的第1个域（根域）。

创建域的方法是先安装一台Windows Server 2008服务器，然后将其升级为域控制器。

再架构此域的第二台域控制器（Windows Server 2008）、一台成员服务器（Windows Server 2008）与一台加入域的Windows Vista 计算机。

首先将上图左上角的服务器升级为域控制器，也就是在其内安装Active Directory 。

当运行这个升级工作时，因为它是第一台域控制器，因此这个升级过程会同时完成以下的工作：☻ 创建第一个林☻ 创建此新林中的第一个域树状目录☻ 创建此新域树状目录中的第一个域☻ 创建此新域中的第一个域控制器在创建上图中第一台域控制器 时，它会同时创建此域控制器所属的域 ，同时也会创建域 所属的域树状目录，而域第一台域控制器 &DNS 服务器 IP:192.168.8.1/24 DNS:192.168.8.1 第二台域控制器IP:192.168.8.2/24DNS:192.168.8.1成员服务器 IP:192.168.8.3/24 DNS:192.168.8.1 加入域的WindowsVista vista IP:192.168.8.4/24DNS:192.168.8.1也是此域树状目录的根域。

由于这是第一个域树状目录，因此它同时也会创建一个新林，林名就是第一个域树状目录的根域的域名，也就是。

域就是整个林的林根域。

5-2-1 创建域的必要条件在将Windows Server 2008服务器升级为域控制器前，请注意以下事项：☻DNS域名请提前为Active Directory域想好一个符号DNS格式的域名，例。

☻DNS服务器由于域控制器需要将自己登记到DNS服务器内，以便让其他计算机通过DNS 服务器来找到这台域控制器，因此必须要有一台可支持Active Directory的DNS服务器，也就是它必须支持SRV RR，且最好能支持动态更新。

部署企业中第一台Windows Server 2008 R2域控制器已经完成了企业中Windows网络域森林的建立。

但是，在企业中对于AD来讲，为了保证安全稳定运行，至少需要两台以上的物理域控制器。

在早期的Windows中可以部署备份域控制器（BDC）；到WIN2K后，AD使用额外域控制器和操作主机角色来解决域控制器备份的问题；到了WIN08后，为了增加在分支机构的应用，引入了只读域控制器（RODC）概念，其和读写域控制器同时一同部署从而提高Windows AD的可用性。

在此，主要讨论关于部署当前域的额外域控制器，即读写额外域控制器。

额外域控制器由于不是企业中的第一台域控制器，所以在其部署之前，亦即在创建域森林的时候就应该将其规划妥当。

由此，虽然其没有首台DC部署那样需要注意的事项多，但是对于WIN08R2来讲还是有很多地方值得提及，也与早期的版本不同。

一、DC网络属性的基本配置其配置情况主要应该参考当前网络规划和首台DC的配置而定，在此就延续前一篇文章所述内容来描述。

由于首台DC被规划为同时充当DNS服务器，因此该台额外域控制器首选DNS 服务器配置项中的值应该指向首台DC的IP地址（如图1）。

但是，在规划时这台额外域控制器同时还要作为域中的DNS服务器，并已经安装配置好DNS服务了，而且还从首台DC同步的DNS区域数据，那么可以将首选的DNS服务器选项设置为其自身IP地址。

图1注意：如果企业中有专门的DNS服务器存在，则需要指向这些服务器，而不能指向首台DC。

此外，同样需要将“网络和共享中心”窗口中的“公用网络”更改为“专用网络”。

这样才能保证额外域控制在配置和运行中能够正常与其他服务器和客户通信。

二、准备安装AD服务WIN08R2安装额外域控制器，依然是通过“服务器管理器”的角色添加来完成初始化的准备工作的。

在角色选择过程中勾选“Active Directory域服务”（如图2），并根据向导完成初始化操作。

Windows Server 2008 R2 域控制器部署手册
一、域控制器安装步骤：
1、装Windows Server 2008 R2并配置计算机名称和IP地址。

2、点击“开始”，在“搜索程序和文件”中输入Dcpromo.exe后按回车键。

3、如下图进入域控制器安装的准备；
4、进入AD DS安装向导，点击“下一步”；
5、在操作系统兼容性，点击“下一步”；
6、选择“在新林中创建域”后点击“下一步”；
7、输入域名“”后点击“下一步”；
8、选择合适的林功能级别级别（建议使用Windows Server 2008 R2），之后点击“下一步”；
9、在其他域控制器选项，点击“下一步”；
10、点击“是”，继续安装；
11、在指定数据库、日志文件及SYSVOL位置，点击“下一步”；
12、输入目录服务还原模式密码后，点击“下一步”；
13、回顾AD DS相关配置，点击“下一步”后进入活动目录安装进程；
14、安装完成后，点击“确定”后点击“立即重新启动”，如下图；
15、重新启动后，使用域管理员帐号登陆域控制器。

2008_域环境搭建目录第一章虚拟场景 (2)1、公司简介 (2)2、公司现有IT状况 (2)第二章实验设计 (3)1、域规划 (3)2、计算机规划 (3)第三章具体实施 (4)1、建立根域 (4)1.1准备 (4)1.2 安装 (4)2、建立子域 (13)3、额外域控制器建立 (18)4、站点的建立与连接 (25)4.1 创建站点 (25)4.2 定义站点子网 (26)4.3 定位服务器 (27)4.4 配置站点连接器 (28)5角色迁移 (28)第四章实验中的问题 (33)第一章虚拟场景1、公司简介某公司通过合理的运营和管理，发展迅速，员工人数已有200人左右，现在该公司总部设在长春，两个子公司分部在大连和沈阳，为了满足公司未来的发展和企业运营的需求，公司决定重新部署企业网络。

公司决定部署一个由200台计算机组成的局域网。

用于完成企业数据通信和资源共享。

公司内部有：人力资源部、行政部、财务部、工程部、销售部、总经理办公室2、公司现有IT状况公司已有一个局域网，运行200台计算机，服务器操作系统是windows server 2008，客户机的操作系统是windows xp，工作在工作组模式下，员工一人一机办公。

公司从ISP申请2M专线用于与各个子公司相连，实现各公司间资源交换与共享。

由于计算机比较多，管理上缺乏层次，公司希望能够利用windows域环境管理所有网络资源，提高办公效率，加强内部网络安全，规范计算机使用。

第二章实验设计1、域规划一改以往的工作组模式，组建域，使管理更方便，工作的环境更安全，用户可以在任意一台域内的计算机登录，共享网络资源。

在总公司长春建立根域内部子网172.16.18.0/24大连分部建立子域内部子网10.10.10.0/24沈阳分部建立子域内部子网192.168.80.0/242、计算机规划DC情况如下表:地区DC计算机名IP 子网掩码DNS长春Mywingc 172.16.18.51 255.255.255.0 172.16.18.51 Mywinsu 172.16.18.216 255.255.255.0 172.16.18.51大连Hanwin01 10.10.10.1 255.255.255.0 172.16.18.51 Hanwin02 10.10..10.216 255.255.255.0 172.16.18.512M沈阳Tbwin01 192.168.80.173 255.255.255.0 172.16.18.51 Shiwin02 192.168.80.215 255.255.255.0 172.16.18.51第三章具体实施1、建立根域1.1准备对于安装WINDOWS 2008 SERVER 的服务器，对硬件有如下要求：处理器最低1.0GHz x86或1.4GHz x64推荐2.0GHz或更高；安腾版则需要Itanium 2内存最低512MB 推荐2GB或更多内存最大支持32位标准版4GB、企业版和数据中心版64GB 64位标准版32GB，其他版本2TB硬盘最少10GB，推荐40GB或更多内存大于16GB的系统需要更多空间用于页面、休眠和转存储文件备注光驱要求DVD-ROM；显示器要求至少SVGA 800×600分辨率，或更高；在安装根域服务器前，首先要确定你的计算机IP地址（IPV4）为静态，DNS指向本机的IP地址（DNS安装会在下面操作中说明） IPV6 禁用1.2 安装在安装windows 2008 之后（安装过程不详细介绍），选择“开始”－“管理工具”—“服务器管理器”选项，然后选择添加角色在服务器角色中选择AD域服务（DNS不可与AD一起勾选）然后单击下一步，进入一个对AD的简介界面，单击下一步进入安装界面点击安装。

WindowsServer2008R2活动目录服务部署（一）测试环境：硬件环境：IBM X3250M3 软件环境：wmware esxi 5.1.0 客户端：VMware vSphere Client 5.1.0服务器：计算机名LMDC1,已安装Windows Server 2008 R2。

IPV4:172.168.88.2,255.255.0.0 网关地址172.168.88.1管理员：administrator实验要求：安装第一个企业根据域控制器域名为部署过程：方法一：手动部署1、首先进行系统诊断，确保安装前系统的状态正常.并使用事件查看器(EventVWR.MSC），查看日志情况。

2、打开网络连接，设置网卡的IP4地址为一静态地址，同时将DNS服务器地址设置为127.0.0.13、运行DCPROMO,出现设置向导。

检测系统是否安装AD域服务二进制文件，如果没有，系统会自动安装(也可以在运行命令之前，通过服务器管理器，添加活动目录域服务角色来安装）3、弹出活动目录域服务安装向导，选择高级模式（如果不选择此项，安装过程中将无法对有些设置进行更改，如域Netbios名的更改等）5、由于这是森林中的第一台服务器，所以选择在新林中新建域。

6、功能级别，所提供的功能不同。

如要使用R2新增的活动目录回收站功能，必须将功能级别提升到2008 R2功能级别。

要使用棵粒化密码策略，须将功能级别提升到2008。

R2新增了一种功能级别即2008 R2级别。

注意功能级别的操作是单向，即当提升到一个高功能级别后，它不能再降为低功能级别。

除非得新安装AD域服务7、此实验环境中，DC1也是一台DNS服务器，所以要勾选DNS 服务器。

同时，这是森林中的第一台DC，所以全局编录（GC），只读域控制器（RODC）不可操作。

森林中必须至少有一台GC，同时要安装RODC，域中必须首先有一台可写的DC。

12、指定活动目录数据库的存放位置。

4.1.6 只读域控制器4.1.6 只读域控制器（1）只读域控制器（RODC）是Windows Server 2008操作系统中的一种新型域控制器，使用户可以在无法确保物理安全性的位置中，轻松部署域控制器。

RODC承载Active Directory服务数据库的只读分区。

在可读写域控制器上执行的所有修改，将被自动复制到只读域控制器中保存。

RODC仅支持从可读写域控制器到RODC的单项数据复制，可读写域控制器不会从RODC主动"拉"数据，RODC可以缓存授权的目标组和用户的密码。

1. RODC的优点RODC虽然是一个只读的域控制器，但本质上还是域控制器，具备域控制器的功能和优点，同时具有以下特点。

只读Active Directory数据库。

RODC上包含所有域对象和属性，与可读写域控制器不同的是，只能读取可读写域控制器中的数据，无法对RODC的Active Directory数据库进行更改。

RODC默认情况下，RODC中不存储账户的密码。

在不能保证域控制器安全性的情况下，可以通过RODC保证分支机构域安全性。

单向复制。

可读写域控制器之间的复制是双向的，而RODC和可读写域控制器之间的复制是单向的，RODC通过分布式文件系统（DFS）从可读写域控制器复制数据。

密码缓存。

默认情况下，RODC上只存储本地的计算机账户和一个用于RODC特殊的Kerberos票据授权（KRBTGT）账户，此账户被可读写域控制器用来验证RODC身份。

在可读写域控制器上启用密码缓存功能，即可在RODC上缓存所有域用户账户。

如果在RODC上启用密码缓存，只会影响缓存到本地计算机和用户账户。

只读DNS。

在RODC上可以安装DNS服务，RODC可以复制DNS使用的所有应用程序目录分区中的数据，包括ForestDNSZones和DomainDNSZones，支持客户端请求RODC进行名称解析。

在RODC上的DNS不支持客户端直接更新DNS记录，因此RODC不会在其拥有的活动目录集成区域内注册任何NS（Name Server）记录。

Windows Server 2008域服务器配置全部的选择：将该服务器配置为新林中的第一个 Active Directory 域控制器。

新域名为 newhome.tianye。

这也是新林的名称。

域的 NetBIOS 名称为 NEWHOME林功能级别: Windows Server 2008域功能级别: Windows Server 2008站点: Default-First-Site-Name其他选项:只读域控制器: 否全局编录: 是DNS 服务器: 是创建 DNS 委派: 否数据库文件夹: F:\Windows\NTDS日志文件文件夹: F:\Windows\NTDSSYSVOL 文件夹: F:\Windows\SYSVOL将在此计算机上安装 DNS 服务器服务。

将在此计算机上配置 DNS 服务器服务。

此计算机将会配置为使用此 DNS 服务器作为其首选 DNS 服务器。

新域 Administrator 的密码将与此计算机的本地 Administrator 的密码相同。

安装的事件摘要：级别事件ID 日期和时间来源信息2014 2009/10/6 18:26:25 Microsoft-Windows-ActiveDirectory_DomainService "Active Directory 域服务成功地完成重新建立下列数量的索引。

索引: 5"信息2013 2009/10/6 18:26:24 Microsoft-Windows-ActiveDirectory_DomainService "Active Directory 域服务正在重新建立下列数量的索引，这是初始化的一部分。

索引: 5"警告1463 2009/10/6 18:26:23 Microsoft-Windows-ActiveDirectory_DomainService "作为初始化的一部分，Active Directory 域服务已检测到并删除了某些可能已损坏的索引。

构建企业服务之部署Windows Server 2008域控制器测试环境：服务器：Windows server 2008客户机：windows server 20032008IP地址：192.168.19.100实验要求：部署企业的第一台域控制器；然后通过服务管理器来验证。

部署过程：1．首先配置IP地址；如图不用过多解释。

2．打开“服务器管理器”选择操作“新建角色”；如图、3．配置之前点击下一步即可；关于域的搭建需要注意什么以及一些细节就不在这里做讲述了；4．添加我们需要的角色“active drectory”如图；其他角色也是同理需要什么就安装什么。

5．配置域服务器；（旁边是对域服务的解释、可以加强理解）。

6．确认下是不是我们需要安装的服务、点击OK即可。

7．如图所示：是安装完成的界面。

8．安装完域服务、我们就可以开始部署域了；我们通过“dcpromo”命令或者如下图所示：点击“运行Active Directory域服务安装向导”就可以。

如图：9．如图出现我们期待以及的安装向导界面；10．如图弹出安装的警告提示、下一步就可以；11．选择要搭建的域的环境，是“现有林”还是“新林中的新建域”；配置如图所示：12．输入要新建域的域名；如图所示。

13．设置林的级别；我们就按照默认的就OK，当然我们也可以根据我们相应的需求来配置。

14．设置域功能的模式，这里我们设置2000的纯模式就可以。

15．基本上配置域完成了、然后需要配置DNS服务；如图16．然后在下图添加DNS服务的时候。

根据我们的需求就可以配置。

17．如图，我们目前不需要DNS委派的功能，我们选择“是”即可；如果我们需要DNS的委派功能；在DNS的配置我们自己可以添加、关于DNS的部署与排错，后期将推出。

18．如图是Active Dirctory域服务的配置文件的位置；切记不要删除或者不要发生什么意外什么的。

19．输入配置目录的密码，在做域离线迁移；等活动的时候需要输入的、切记不要忘记该密码。

部署只读域控制器（RODC）一、简介只读域控制器是Windows Server 2008系统中的一种新类型的域控制器，借助RODC，企业可以在物理安全性无法得到保障的地方部署域控制器。

在RODC上保存了一份AD DS的只读分区。

RODC主要设计用于部署在远程或分支机构环境中。

二、 RODC的作用RODC提供了一种在要求快速、可靠的身份验证服务但不能确保可写域控制器物理安全性的位置更安全地部署域控制器的方法；某些应用程序只能安装在域控制器上，应用程序使用者经常需要以交互方式登录到域控制器对应用程序进行配置和管理，这会增加域控制器的安全风险，而部署RODC，就可以增加这方面的安全性。

三、注意事项RODC不能担任操作主机角色，也不能作为复制拓扑中的桥头堡服务器；可以在Windows Server 2008 Server Core上部署RODC以提高安全性；如果要部署RODC，在域中至少要有一台运行Windows Server 2008的可写域控制器；如果要部署RODC，域功能级别和林功能级别都必须是Windows Server 2003或更高版本；四、 RODC提供的新特性只读AD DS数据库RODC上保存了可写域控制器上除帐号密码外的所有对象和属性的只读副本，所有对AD DS 数据库的更改都只能在可写域控制器上进行，然后再复制给RODC;需要对目录进行读取的应用程序可以获取访问权限。

请求写入访问的轻型目录应用程序协议（LDAP）应用程序将接收LDAP引用响应，该响应将其定向到可写域控制器。

单向复制因为任何AD数据库的更改都不会写入RODC，所以可写域控制器就不需要从RODC上复制任何信息。

RODC只执行正常的入站复制。

凭据缓存默认情况下，RODC上除了RODC的计算机帐户和特殊账户krbtgt之外，不存储用户或计算机凭据。

但可以设置密码复制策略将部分用户凭据和计算机凭据从可写域控制器复制到RODC并在RODC上缓存起来，从而直接服务登录请求。

Windows Server 2008下高效域管理体验 -电脑资料域是微软局域网解决方案的重要组成部分，几乎每一个Windows Server版本的发布都会在域方面有非常大的改进和提升，Windows Server 2008下高效域管理体验。

作为微软最新版本的Windows Server 2008会带给我们什么样的域体验呢?下面笔者结合实例，和大家分享几个基于Windows Server 2008域的新应用，希望这些新特性会带给大家不同的域管理体验。

1、部署只读域控制器域控制器(DC)的安全，特别是其物理安全让管理员颇为担心。

在Windows Server 2008中新增了一种特殊的域控制器即只读域控制器(RODC)，借助RODC我们可以在无法保证物理安全性的网络节点中部署只读域控制器。

这样不仅能够提升其安全性，而且可以实现更快的登录以及更加有效地访问网络资源。

在Windows Server 2008中要部署一台只读域控制器(RODC)是非常简单的。

比如我们要将域中的一台Windows Server 2008主机部署成只读域控制器可以进行这样的操作：首先以管理员用户登录该主机，然后以Administrator身份允许命令提示符，接下来执行命令“dcpromo/replicaornewdomain:readonlyreplica /installdns:yes/replicadomaindnsname: /sitename=default-first-site-name/safemodeadminpassword:ctocio!”即可。

其中/replicadomaindnsname:”指定域名，“/safemodeadminpassword:ctocio!”设置域控制器管理员的密码为ctocio!。

需要说明的是，在安装获得目录(AD)的过程中还将同时安装并配置DNS，以及为活动目录的恢复模式设置管理员密码。

•部署windows域之2008 R2域控制器服务
1、具有管理员权限
2、windows server2008 R2(除WEB版外)
3、本地磁盘至少有一个分区是NTFS文件系统
4、配置静态的IP地址和子网掩码
5、足够的磁盘空间
查看操作系统版本
查看TCP/IP参数信息
?
Administrator管理员登录后，运行“dcpromo”命令
?
打开“Active Directory”域服务安装向导
?
阅读操作系统兼容性选择“下一步”
?
在选择某一部署配置选择在新林中新建域
?
命名根林域键入FQDN (完全合格域名)
?
设置林功能级别选择“Windows Server 2008 R2”
?
其他域控制器选项选择“DNS服务器”
?
数据库、日志文件和SYSVOL的位置接受默认位置“下一步”
?
目录服务还原模式密码输入并确认一个强密码“下一步”
?
摘要阅读摘要如各项配置不正确选择“上一步”修改没有问题“下一步”
?
开始安装和配置活动目录服务
?
完成域服务安装向导“完成”重启计算机生效
?
重启后的登录界面：
?
将加入域
条件1、确保该计算机和域控制器互相联通。

条件2、配置正确的DNS 地址。

查看TCP/IP参数配置协议
系统属性计算机名选项卡“更改”
?
计算机名\域更改输入“确定”
?
“Windows 安全”对话框
?
提示“确认”重启计算机
?
开始——管理工具——Active Directory 用户和计算机查看加入域“”的NASH-PC ?。

部署只读域控制器（RODC）一、简介只读域控制器是Windows Server 2008系统中的一种新类型的域控制器，借助RODC，企业可以在物理安全性无法得到保障的地方部署域控制器。

在RODC上保存了一份AD DS 的只读分区。

RODC主要设计用于部署在远程或分支机构环境中。

二、RODC的作用RODC提供了一种在要求快速、可靠的身份验证服务但不能确保可写域控制器物理安全性的位置更安全地部署域控制器的方法；某些应用程序只能安装在域控制器上，应用程序使用者经常需要以交互方式登录到域控制器对应用程序进行配置和管理，这会增加域控制器的安全风险，而部署RODC，就可以增加这方面的安全性。

三、注意事项RODC不能担任操作主机角色，也不能作为复制拓扑中的桥头堡服务器；可以在Windows Server 2008 Server Core上部署RODC以提高安全性；如果要部署RODC，在域中至少要有一台运行Windows Server 2008的可写域控制器；如果要部署RODC，域功能级别和林功能级别都必须是Windows Server 2003或更高版本；四、RODC提供的新特性只读AD DS数据库RODC上保存了可写域控制器上除帐号密码外的所有对象和属性的只读副本，所有对AD DS数据库的更改都只能在可写域控制器上进行，然后再复制给RODC;需要对目录进行读取的应用程序可以获取访问权限。

请求写入访问的轻型目录应用程序协议（LDAP）应用程序将接收LDAP引用响应，该响应将其定向到可写域控制器。

单向复制因为任何AD数据库的更改都不会写入RODC，所以可写域控制器就不需要从RODC 上复制任何信息。

RODC只执行正常的入站复制。

凭据缓存默认情况下，RODC上除了RODC的计算机帐户和特殊账户krbtgt之外，不存储用户或计算机凭据。

但可以设置密码复制策略将部分用户凭据和计算机凭据从可写域控制器复制到RODC并在RODC上缓存起来，从而直接服务登录请求。

活动目录在Win 2008改进只读域控制器只读域控制器(RODC)是在Windows Server 2008操作系统中一种新的域控制器。

有了只读域控制器，组织能够容易地的物理安全得不到保证的地区部署域控制器。

一台RODC包含了活动目录数据库的只读部分。

在Windows Server 2008发布以前，如果用户不得不跨广域网连接域控制器进行身份验证的话，那也就没有其它更好的选择。

在许多案例中，这不是有效的解决方法。

分支机构通常无法为一台可写的域控制器提供的足够的物理安全。

而且，当分支机构连接到枢纽站点时，它们的网络带宽通常比较差。

这将导致登录时间变长。

这也会阻碍网络资源的访问。

从Windows Server 2008开始，组织能够部署RODC来处理这些问题。

作为部署的结果，用户能够获得以下好处：●改进的安全性●快速登录●更有效的访问网络资源RODC可以做什么?在考虑部署RODC时，物理安全的不足是最为寻常的理由。

RODC给那些需要快速可靠的身份验证，同时对可写域控制器而言物理安全无法得到确保的地方部署域控制器提供了新的方法。

然而你的组织也可以为了特殊的管理需要选择部署RODC。

比如，业务程序(line-of-business，LOB)只能被安装到域控制器上并才能得以成功运行。

或者，域控制器是分支机构仅有的服务器，而不得不运行服务器应用。

在这些例子中，业务程序所有者必须经常交互式登录到域控制器或者使用终端服务来配置和管理程序。

这种环境引起了在可写域控制器上不被接受的安全风险。

RODC为在这些场景中部署域控制器提供了更安全的机械结构。

你能够将登录到RODC的权利转让给没有管理权限的域用户同时最小化给互动目录森林带来的安全风险。

你也可以在其它场景中部署RODC，比如在外延网(EXTRANETS)中本地储存的所有域密码被认为是主要威胁。

还有其它要特别考虑的吗?为了部署RODC，域中必须至少有一台运行Windows Server 2008的可写域控制器。

Window server 2008 R2 SP1系统及域服务器安装配置手册1Window server 2008 R2 SP1系统硬件要求：2Window server 2008 R2 SP1系统安装：本安装过程以光盘安装方式进行讲解，其他的安装方式都具有相似性，不做过多说明。

机器配置要求和Windows 7差不多。

首先将电脑配置从CD-ROM启动（或者启动按快捷键调出bootmenu），出现“按任意键开始安装——”的英文提示按任意键开始进行安装过程。

本教程以图解方式为主，间或文字进行说明。

2.1开始安装将系统安装盘放入光驱，重启计算机，将计算机从光盘引导，进入安装界面。

2.2语言区域设置选择安装语言、时间和货币格式、键盘和输入方法，单击“下一步”。

2.3正式安装现在已经可以安装系统，点击“现在安装”2.4系统正在准备安装程序2.5选择要安装的server2008 R2的版本版本不一样所安装的组件及角色都不一样。

在这里我们选择Windows Server 2008 R2 Enterprises （完全安装），单击“下一步”2.6Microsoft安装许可条款勾选“我接受许可条款（A）”，单击“下一步”2.7选择进行何种类型的安装我们选择“自定义（高级）安装”，点击“自定义（高级）安装”2.8选择要按照的位置我们这里可以选择“驱动器选项（高级）（A）”对硬盘进行分区及格式化操作，现在我们选择磁盘0，单击“下一步”2.9开始自动复制文件安装系统功能及更新，并显示安装进度。

安装完毕后系统自动重启。

2.10安装完成系统为第一次登录做准备。

2.11首次登录需要给系统管理员设置一个密码，点击“确定”按钮。

输入要设置的密码，点击蓝色箭头按钮。

（密码规则：）2.13出现按“ctrl+alt+delete”登录界面。

2.14第一次登录系统登录成功后会显示初始配置任务窗口，我们可以按照提示一步一步配置服务器。

也可以先不配置服务器，点击“关闭即可”。

如何为站点系统配置 Windows Server 20083（共 4）对本文的评价是有帮助 - 评价此主题更新时间: 2010年7月应用到: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2使用本主题中的过程可帮助您将 Windows Server 2008 和 Windows Server 2008 R2 配置为支持 Configuration Manager 2007 SP1 或更高版本的站点系统。

注意Configuration Manager 2007 SP1 或更高版本支持在 Windows Server 2008 和Windows Server 2008 R2 只读域控制器 (RODC) 计算机上安装主站点系统和辅助站点系统。

在站点安装过程中，Configuration Manager 2007 安装向导会识别出正在 RODC 上安装站点，并搜索可写域控制器以创建站点安装类型所需的必要组。

但是，在使用安装辅助站点安装向导从配置管理器控制台中安装辅助站点时，您必须先在 Active Directory 域服务中创建所需的组，然后才能运行辅助站点安装。

使用以下信息为配置管理器配置 Windows Server 2008 和 Windows Server 2008 R2 站点系统：∙站点服务器和分支分发点计算机的远程差分压缩∙Internet Information Services(IIS)o将 WebDAV 配置为支持为“允许客户端使用 BITS、HTTP 和 HTTPS 从此分发点传输内容”而启用的管理点和分发点o在 Windows Server 2008和 Windows Server 2008R2 计算机上安装Internet InformationServices (IIS)o为 IIS 7.0 安装 WebDAVo启用 WebDAV 并创建一个创作规则o在分发点上配置requestFiltering 部分站点服务器和分支分发点计算机的远程差分压缩站点服务器和分支分发点需要远程差分压缩 (RDC)，才能生成包签名和执行签名比较。