很少有環(huán)境會面對像遠(yuǎn)程辦公室這樣的支持挑戰(zhàn)。建立和維護(hù)安全的連接帶來諸多技術(shù)和過程難題。遠(yuǎn)程辦公室連接的任何數(shù)據(jù)中心也是如此。

遠(yuǎn)程辦公室通常分布很廣，數(shù)量一般較少，每個辦公室的用戶數(shù)相對較少，他們通過速度較慢的網(wǎng)絡(luò)鏈路連接到數(shù)據(jù)中心站點，現(xiàn)場一般都沒有熟練的 IT 管理員。每個因素本身都是一個挑戰(zhàn)。如果將這些因素組合在一起，您將找到 IT 難題的解決之道。

盡管大多數(shù)分支機(jī)構(gòu)環(huán)境通常都具有一系列類似特點（正如此處所述），但也存在組織特定的要求，這些要求決定了環(huán)境的運(yùn)營方式。安全重要性或技術(shù)資源集中程度對于不同遠(yuǎn)程辦公室框架會有所不同。無論分支機(jī)構(gòu)如何運(yùn)營，Windows Server 2008 R2 都是一次部署最新技術(shù)的全新機(jī)會，將對您部署和利用遠(yuǎn)程環(huán)境中的域控制器 (DC) 的方式帶來根本性變化。

安全解決方案

保護(hù)分支機(jī)構(gòu)部署是 Active Directory 域服務(wù) (ADDS) 的一種常見方案。遠(yuǎn)程環(huán)境所獨有的特征和限制使其非常適合于部署 ADDS。Windows Server 2008 R2 具有用于部署 ADDS 的一系列新功能和更新的方法。讓我們看看如何在這類環(huán)境中以安全的方式部署 Windows Server 2008 R2。我們將介紹分支機(jī)構(gòu)典型特征、關(guān)鍵體系結(jié)構(gòu)設(shè)計元素以及特定于部署 Windows Server 2008 R2 的推薦部署選項。

Windows Server 2008 R2 的最重要方面是只讀域控制器 (RODC)。一般而言，RODC 部署在需要 DC 服務(wù)但缺少適當(dāng)?shù)奈锢戆踩胧┑奈恢?。由于安全性提高和管理功能增?qiáng)，用 RODC 代替現(xiàn)有 DC 可能超出許多分支機(jī)構(gòu)環(huán)境中的現(xiàn)有 ADDS 相關(guān)的要求。對于當(dāng)前無 DC 的位置，RODC 是一個將 ADDS 引入環(huán)境的重要機(jī)會。

另一個重要因素是 Server Core 的更新版本，它作為 Windows Server 2008 R2 的安裝選項，提供了運(yùn)行特定的受支持服務(wù)器角色（如 DC 角色）的最小環(huán)境。選擇 Server Core 將只安裝已安裝的服務(wù)器角色（本示例中為 RODC）所需的二進(jìn)制文件子集。此最小安裝減少了攻擊面，降低了維護(hù)需求并簡化了管理，還有助于 RODC 服務(wù)器以更少資源運(yùn)行。

因為這些因素大多都可以幫助降低分支機(jī)構(gòu)環(huán)境通常具有的局限，Windows Server 2008 R2 Server Core 和 RODC 是所有遠(yuǎn)程環(huán)境的不二之選。以下部署注意事項詳細(xì)說明了特定于 Server Core 和 RODC 組件的部署和配置選項。 

盡管可能不能滿足每個組織的分支機(jī)構(gòu)要求或具體情況，但此可靠配置是相當(dāng)常見的設(shè)置，此配置的大多數(shù)主要方面都已在 Windows Server 2008 安全遵從性管理工具包的當(dāng)前最佳實踐指南中重點說明。

這里將逐一介紹與建立分支機(jī)構(gòu)環(huán)境的安全 Windows Server 2008 R2 Server Core RODC 解決方案相關(guān)的關(guān)鍵部署注意事項。其中涵蓋了解決方案設(shè)想、重要的設(shè)計元素、基礎(chǔ)結(jié)構(gòu)先決條件和其他相關(guān)部署選項。 

初步設(shè)計規(guī)劃

與任何 DC 部署一樣，您必須在部署前制定關(guān)鍵的設(shè)計決策。這些決策包括評估硬件要求、確定軟件升級戰(zhàn)略、確定 RODC 服務(wù)器版本以及確定 DC 升級順序。這些決策將指導(dǎo)總體部署流程和可用的配置。

您必須從硬件評估角度確定現(xiàn)有 DC 硬件是否符合推薦的要求。由于存在記錄完整的規(guī)范，因此這些決策對于大多數(shù)組織而言不成問題。對于支持的軟件升級途徑，因 Windows 的版本和不同的安裝選項，會有各種不同的選項。 

Server Core 要求全新安裝分支機(jī)構(gòu) DC。無法升級到此安裝選項。對于已安裝的服務(wù)器角色，出于安全目的，通常建議從服務(wù)器版本中刪除 RODC 運(yùn)行不需要的所有服務(wù)器角色和服務(wù)。根據(jù) RODC 解決方案的規(guī)定，Windows Server 2008 R2 Server Core RODC 不承載除全局編錄和 DNS 服務(wù)器之外的任何其他服務(wù)或服務(wù)器角色，這是企業(yè)組織中日益常見的做法。

部署 DC 的順序也是部署流程中關(guān)鍵的一環(huán)。推薦的順序是先在早期為每個域構(gòu)建的 Windows Server 2008 R2 成員服務(wù)器的數(shù)據(jù)中心上安裝 ADDS，從林根域開始，然后將每個域的所有適用操作主機(jī)角色轉(zhuǎn)移到這些 DC 上。接著，部署數(shù)據(jù)中心位置，并完全取消這些站點中所有舊 DC 的配置。這有助于穩(wěn)定大型、管理良好的位置中的 ADDS，還能簡化 RODC 部署流程本身。在替換數(shù)據(jù)中心 DC 后，您就可以啟動分支機(jī)構(gòu) DC。

Windows Server 2008 R2 林和域準(zhǔn)備工作

在將單個 Windows Server 2008 R2 DC 部署到現(xiàn)有環(huán)境之前，必須通過運(yùn)行 Adprep.exe 準(zhǔn)備 Active Directory 林和域。首先，用 adprep /forestprep 命令更新承載架構(gòu)操作主機(jī)角色的 DC 上的林架構(gòu)。此時，您可以通過 adprep /rodcprep 命令更新林，以便安裝 ROCD。要準(zhǔn)備每個子域，您必須在承載基礎(chǔ)結(jié)構(gòu)主機(jī)角色的 DC 上運(yùn)行 adprep /domainprep /gpprep 命令。

最后，必須在 RODC 將駐留的相同域中部署至少一個運(yùn)行 Windows Server 2008 R2 的可寫 DC。同時也請注意，對于運(yùn)行 Windows Server 2008 版本的 Adprep.exe 命令的環(huán)境，升級到 Windows Server 2008 R2 仍需要您用 R2 版本重新運(yùn)行除 adprep /rodcprep（該命令與 Windows Server 2008 版本相比沒有變化）以外的所有命令。 

RODC 布置

從體系機(jī)構(gòu)設(shè)計角度看，密碼復(fù)制策略 (PRP) 的引入使得 RODC 布置方面的注意事項出現(xiàn)了變化。例如，RODC 必須能夠通過 Windows Server 2008 R2 可寫 DC 建立域分區(qū)復(fù)制。由于大多數(shù)分支機(jī)構(gòu)環(huán)境采用中心輻射型網(wǎng)絡(luò)拓?fù)?，RODC ADDS 站點很有可能由指向 Windows Server 2008 R2 可寫 DC 所在的數(shù)據(jù)中心站點的單個低成本站點鏈接所分隔。

對于不屬于這種情況的環(huán)境，您可以在中間站點部署其他可寫 DC，部署新的站點鏈接橋或創(chuàng)建新的站點鏈接，以控制創(chuàng)建復(fù)制連接的方式。您還必須確保其他 DC 布置在與 RODC 不同的 ADDS 站點中。對于大多數(shù)通常只承載最小數(shù)量服務(wù)器的分支機(jī)構(gòu)環(huán)境，這種情況不是問題。對于承載多個 DC 的位置，部署 RODC 可能完全不是可接受的解決方案。 

憑據(jù)緩存

可能，這里最重要的安全元素是憑據(jù)緩存模式。這是您在開始分支機(jī)構(gòu)部署前必須仔細(xì)確定的關(guān)鍵設(shè)計部分。對于眾多環(huán)境而言，“少量可緩存帳戶”模式可能是最常見和最適合的模式。 

這種方法只將 RODC 站點中的本地帳戶配置為可緩存，提供了與最少權(quán)限和服務(wù)可用性的原則相關(guān)的適合條件。這種方法的一個缺點是它會增加管理責(zé)任，因為每個 RODC 的 PRP 都將是唯一的，并需要根據(jù)情況對帳戶進(jìn)行操作置備和取消置備。

如何應(yīng)對出差的用戶也是很多分支機(jī)構(gòu)環(huán)境常見的設(shè)計問題。通常，分支機(jī)構(gòu)環(huán)境包括一些用戶和資源，這些用戶和資源的帳戶因服務(wù)可用性目的需緩存到特定 RODC 上。理想情況下，與新雇傭的用戶類似，會提前對這些帳戶進(jìn)行置備。但是，由于出差行為的隨機(jī)和不可預(yù)測特性，這種方式通常不現(xiàn)實，尤其對于要在很多 RODC 位置之間流動的大量資源。

要解決此問題，您可以將其他帳戶添加到相應(yīng)的 RODC PRP。對于一組帳戶要求允許訪問所有 RODC PRP 的極端情況，您還可以利用默認(rèn)組“只讀域控制器密碼復(fù)制組”。但是，應(yīng)謹(jǐn)慎使用該組，因為此安全組中的成員身份使所有成員可緩存在所有 RODC 上。

另一個注意事項是可緩存帳戶的實際緩存時間。默認(rèn)情況下，當(dāng)將身份驗證請求轉(zhuǎn)發(fā)給 Windows Server 2008 R2 可寫 DC，并且將憑據(jù)復(fù)制到 RODC 時，只有初次登錄到 RODC 后，才會緩存。因為承載現(xiàn)有 DC 的分支機(jī)構(gòu)環(huán)境很可能仍保持著先前已有的與服務(wù)可用性有關(guān)的要求，選擇在 RODC 上預(yù)填充憑據(jù)可能一項關(guān)鍵操作。

在 RODC 站點中的所有帳戶尚需緩存其憑據(jù)的 ROCD 初始部署過程中，這尤其重要。一旦已配置 PRP 并將帳戶標(biāo)記為可緩存，您就可以使用 RODC 上的預(yù)填充密碼。但是，請務(wù)必注意，使用預(yù)填充密碼的兩種傳統(tǒng)方式具有一些限制。目前，使用安全組時不允許使用 Active Directory 用戶和計算機(jī)控制臺或 repadmin 命令。

因為一次對一個帳戶預(yù)填充密碼或根據(jù)組織單位進(jìn)行小批量預(yù)填充可能不現(xiàn)實，所以您可以通過腳本方式使用安全組。例如，為了利用用于授權(quán)在特定 RODC 上緩存憑據(jù)的相同安全組，可使用以下代碼：

For /F %%a in ('"dsquery group dc=corp,dc=contoso,dc=com -name <Groupname>| dsget group -members"') do (Repadmin /rodcpwdrepl <RODCname> <RWDCname> %%a)

RODC 階段安裝

在 Windows Server 2008 R2 提供的兩種 DC 安裝方式中，階段安裝方式比直接安裝更可取。直接替代方式與 Windows 早期版本中提供的傳統(tǒng)過程一樣。階段安裝使用管理員角色分離 (ARS)，這是 Windows Server 2008 R2 中的一項功能，將安裝和管理 RODC 服務(wù)器的能力委派給非服務(wù)管理員，但不賦予 Active Directory 權(quán)限。

從安全性角度考慮，階段安裝方式不再要求在可能不安全的分支機(jī)構(gòu)位置使用高度提升的憑據(jù)。出于這一原因，建議在數(shù)據(jù)中心布置 DC 以支持遠(yuǎn)程辦公室的觀點不再適用。階段安裝將 RODC 安裝過程分為兩個階段。

第一個階段要求 ADDS 服務(wù)管理員預(yù)先創(chuàng)建 RODC 的計算機(jī)帳戶，并提供計算機(jī)名、相應(yīng)的 ADDS 站點、要安裝的服務(wù)器角色、PRP 配置和 ARS 委派等配置信息。最佳做法是，委派的管理員應(yīng)由安全組代表，且每個成員的憑據(jù)都應(yīng)緩存在 RODC 上。第二個階段是委派的 RODC 服務(wù)器管理員使用其非 ADDS 服務(wù)管理員憑據(jù)將工作組服務(wù)器加入預(yù)先創(chuàng)建的 RODC 帳戶，并完成 RODC 提升過程。

RODC 提升源

對于 RODC 提升源，此配置使用“從媒體安裝 (IFM)”安裝選項及階段安裝。此選項大幅減少了安裝 ADDS 的過程中復(fù)制到 RODC 的數(shù)據(jù)量。在使用 Windows Server 2008 R2 可寫 DC 上的 Ntdsutil.exe 時，可選擇四種安裝媒體。在這四種媒體中，只有兩種與本文相關(guān)，就是 RODC 和帶 SYSVOL 的 RODC。 

RODC 媒體與完全安裝媒體類似，但不包含密碼等緩存的機(jī)密信息。從分支機(jī)構(gòu)安全角度看這是一項重要功能。制作 RODC 媒體的唯一要求是您必須安裝了 Windows Server 2008 R2 可寫 DC。但是，第二種安裝媒體，即帶 SYSVOL 的 RODC，從基礎(chǔ)結(jié)構(gòu)角度看要求更高。盡管 Ntdsutil.exe 將創(chuàng)建帶 SYSVOL 的 RODC 媒體，但在安裝過程中使用該媒體還需要分布式文件系統(tǒng)復(fù)制 (DFS-R) 以進(jìn)行 SYSVOL 復(fù)制，這需要域功能級別的 Windows Server 2008 R2。

考慮到具有分支機(jī)構(gòu)環(huán)境的大多數(shù)組織很可能不滿足此條件，該媒體使用選項很可能只在初始部署完成后才能使用。但是，一旦達(dá)到這個階段，遷移到 DFS-R 并同時使用 RODC 和帶 SYSVOL 的 RODC 安裝媒體不僅能最大限度減少目錄復(fù)制，還能使未來安裝分支機(jī)構(gòu) DC 更具效率。

運(yùn)行 DCPROMO

在部署此配置時 Active Directory 域控制器安裝向?qū)⒉豢捎?，因為它使用運(yùn)行 Windows Server 2008 R2 Server Core 的 RODC。在實際 RODC 提升過程中不能使用此配置。因此，除了使用 IFM 進(jìn)行的階段安裝之外，包含 Dcpromo.exe 的無人參與文件也將安裝 DC 角色。從安全性和可管理性角度看，這一解決方案特點促進(jìn)了安全和一致的 DC 構(gòu)建做法，有助于在分支機(jī)構(gòu)環(huán)境中保持 ADDS 安全性和配置。

此外，自動化、可預(yù)測及可重復(fù)的構(gòu)建做法可最大限度地降低通過手動干預(yù)將未授權(quán)的軟件、服務(wù)和配置引入構(gòu)建過程的可能性。下面是一個 dcpromo 命令示例和一個簡單的應(yīng)答文件示例：

DCPROMO /unattend:c:\unattend.txt

[DCINSTALL]

ReplicaDomainDNSName=corp.contoso.com

UserDomain=corp

UserName=corp\<delegated RODC security group>

Password=*

ReplicationSourcePath=C: \IFM

Safemodeadminpassword=<password>

請務(wù)必注意，如果應(yīng)答文件中包含任何手動 PRP 配置，且不是在階段安裝的 RODC 帳戶預(yù)先創(chuàng)建過程中加入，則必須明確添加所有默認(rèn)的 PRP 值。在應(yīng)答文件中手動添加明確的 PRP 配置將從根本上以應(yīng)答文件中指定的配置替換默認(rèn)的 PRP 配置。

復(fù)制

由于 Windows Server 2008 R2 RODC 提供了單向復(fù)制，因此以 RODC 替換現(xiàn)有分支機(jī)構(gòu) DC 將降低數(shù)據(jù)中心橋頭服務(wù)器的性能負(fù)載，這些服務(wù)器通常處理分支機(jī)構(gòu) DC 的入站復(fù)制。對于分支機(jī)構(gòu)環(huán)境，這非常重要。它提高了靈活性，可減少數(shù)據(jù)中心所需服務(wù)器總數(shù)。

RODC 還可自動將出站連接對象平均地分布到中心站點橋頭服務(wù)器，在 Windows Server 2003 中需要 Adlb.exe 這樣的附加工具才能實現(xiàn)該操作。出于這一原因，建議您在部署任何 RODC 前將所有數(shù)據(jù)中心 DC 升級到 Windows Server 2008 R2。這可確保入站復(fù)制連接得以均勻地進(jìn)行負(fù)載平衡，就不再需要使用替代方式來解決與數(shù)據(jù)中心橋頭服務(wù)器在 RODC 部署過程中過載相關(guān)的問題。

此詳盡的設(shè)計和部署指南可幫助分支機(jī)構(gòu)安全地部署 Windows Server 2008 R2 Server Core RODC。通過介紹分支機(jī)構(gòu)特征的關(guān)鍵方面、重要的設(shè)計元素以及推薦的部署選項，將來您可將此指南作為 RODC 分支機(jī)構(gòu)部署的最佳實踐。

原文：http://technet.microsoft.com/zh-cn/magazine/ff679937.aspx

來源：微軟TechNet中文站