2008R2Win7管理十二只读域控及DNS
本篇为大家介绍AD自从升级到2008后的颇受赞誉的只读域控制器和只读dns
关于只读域控,在各种官方和非官方的介绍中都已经铺天盖地了,我就不解释了,我描述下作用好了:只读域控一般用于服务器环境不是很安全的远程分支机构,分支机构从只读域控获取域登陆信息以及验证信息.因为是只读的,即使损坏也与总部域控影响不大.只读dns从网域主dns获取dns区域和记录,以提供给分公司登陆域使用.
本系列的拓扑中增加一台NS2安装2008R2并加入网域,本篇将其升级为只读域控和只读dns.
本篇分为1安装只读域控和只读dns2验证只读域控和只读dns
1.安装只读域控和只读dns
NS2系统信息和ip确认和拓扑一直
开始-运行-dcpromo打开ad向导以将ns2升级成为网域的域控.
选择新建域控或是加入现有域
选择要加入的域的名称,默认已经选择了当前域
选择域
选择站台
选择域角色,设置为GC和只读域控,看dns信息,没选择dns角色的时候会提示安装dns,因为一旦远程分支机构出现无法连接到总部的dns,那么就会无法登陆域,
所以本例还是将只读dns安装
选择一个账户或一个组以授权成为只读域控制器的管理员
选择数据库文件存放位置
选择还原模式密码
确认所有信息
安装完成并重启电脑
2.验证只读域控和只读dns
重启完成,看看站点和服务
可以看到ns1下是没有复制来源的,也就是说ns2不会向ns1复制东西
NS2则有连接器,可以从ns1复制域信息
看看dns信息,在dns里也无法建立各种记录
在ccfxny.com这个区域也是同样如此
看看区域属性
发现了吧,来源是从ns1.ccfxny.com获取的区域信息
已经自动设置了将所有不能解析的请求转发到主dns
在用户和计算机上也没有新建的选项
在当前操作的目录服务器上可以看见,目前操作的是ns2,并且可以看到角色GC,RODC,我们切换到NS1看看
新建按钮又回来了,第一次的时候操作的是ns1,我奇怪了很久,为什么ns2是rodc,居然有新建按钮,后来才发现ad用户和计算机管理单元操作的是ns1这台可写域控,汗死.因为还没装rodc的时候,我用网域管理员打开过ad用户和计算机管理单元,当时只有一台域控,自动加载了ns1.然后安装rodc的时候设置domain admins来管理只读域控,也没换用户,所以安装完成rodc的时候,我操作的还是ns1,居然能写入,奇怪了好久,当rodc能写入用户,当南瓜不再是那个南瓜,汗,后来才发现当前连接的域控的问题,要是我们在授权的时候以一个域用户来作为rodc管理员,估计就不会有这种情况了
