安装Windows网络操作系统课件

1、Windows 网络操作系统的配置与管理单元一：安装windows操作系统单元二：安装与配置活动目录域服务单元三：管理用户和组单元四：配置和管理组策略单元五：配置与管理分布式文件系统单元六：配置与管理存储系统单元七：配置与管理打印服务器单元八：IP地址与配置方法单元九：配置与管理DHCP服务器单元十：配置与管理DNS服务器单元十一：配置与管理Web服务器 单元十二：配置与管理WSUS服务器单元十三：配置与管理ADCS单元十四：配置路由与远程访问单元十五：配置网络策略服务和网络访问保护单元十六：配置IPSec保护网络通信第1页，共15页。单元二 安装与配置活动目录域服务任务1 安装活动目录域服务

2、任务2 安装子域控制器任务3 安装RODC只读域控制器任务4 创建与管理组织单位第2页，共15页。任务3 安装只读域控制器一、课程导入二、知识原理 2.1 只读域控制器 2.2 只读域控制器的功能 2.3 准备安装 RODC 2.4 安装 RODC 2.5 委派 RODC 安装 2.6 密码复制策略三、演习 安装RODC只读域控制器四、小结第3页，共15页。一、课程导入在不安全的分支机构配置DC可能的最大危险是活动目录密码方面的潜在的风险。由于Windows 2000 Server和Windows Server 2003中的AD域控制器为每一个用户和计算机账户储存密码，因此，一旦Windows

3、 2000或Windows 2003的域控制器受到威胁或被盗用，管理员就需要重新设置每一个账号密码(有时还不止一次)。如何解决分支办公室的安全呢？第4页，共15页。二、知识原理2.1 只读域控制器2.2 只读域控制器的功能2.3 准备安装 RODC2.4 安装 RODC2.5 委派 RODC 安装 2.6 密码复制策略第5页，共15页。2.1 只读域控制器RODC：(read only DC）是windows server 2008支持的一种新的域控制器类型。RODC承载AD DS数据库的只读分区。借助 RODC,组织可以在无法保证物理安全性的位置中轻松部署域控制器，RODC将为用户提供本地域

4、控制器，从而确保即使在连接总部的广域网链路不可用的情况下，仍然可登录应用组策略。作用：设计 RODC 主要是为了在分支机构环境中部署。分支机构通常用户相对较少，物理安全性差，连接站点的网络带宽也相对较低，并且缺乏本地 IT 知识。RODC单向复制双向复制第6页，共15页。2.2 只读域控制器的功能RODC 提供： 单向复制：减少了恶意用户在分支位置所做的更改影响主域，同时减少分子负载 凭据缓存：默认RODC不存储用户或计算机凭据，如果启用可缩短用户登录 管理角色分离：将RODC本地管理员权限委派给用户，可对RODC进行维护。 只读 DNS：在确保安全情形下，提高分支机构的域名解析效率 RODC

5、 筛选的属性集：可以为特殊应用程序配置一组不会复制到RODC的属性 第7页，共15页。2.3 准备安装 RODC安装 RODC 之前的必需步骤： 确保域和林为 Windows Server 2003 功能级别 确保运行 Windows Server 2008 的可写域控制器可用于复制域分区 运行 ADPrep /rodcprep 使 RODC 能复制 DNS 分区 如果 RODC 将作为全局编录服务器，那么在所有域中运行 ADPrep /domainprep 第8页，共15页。2.4 安装 RODC 选择在现有域中安装其他域控制器的选项 1 如果要配置密码复制策略，那么选择高级模式安装3 选择

6、从 Active Directory 域服务安装向导中安装 RODC 的选项 2 要在服务器核心安装上安装 RODC，可使用包含 ReplicaOrNewDomain=ReadOnlyReplica 值的无人参与安装文件 第9页，共15页。2.5 委派 RODC 安装 为了委派 RODC 安装： 在 Domain Controllers 容器中预先创建 RODC 计算机账户 为用户或组分配安装 RODC 的权限 为了完成委派 RODC 安装，附带 /UseExistingAccount:Attach 开关运行 DCPromo 如果不委派安装管理，那么只有Domain Admins组或Enter

7、prise Admins组的成员可以完成RODC的安装。第10页，共15页。2.6 密码复制策略 密码复制策略决定了 RODC 如何为通过身份验证的用户执行凭据缓存 默认情况下，RODC 不缓存任何用户凭据或计算机凭据 不缓存凭据 在 RODC 上为指定用户启用凭据缓存 配置密码复制策略的选项： 将用户或组添加到“域 RODC 密码复制允许的组”， 这样凭据就可以缓存在所有 RODC 上 第11页，共15页。三、演示 安装RODC只读域控制器工作场景： 你是时讯公司的网络管理员，时讯公司在总部刚刚成立了一个分支办公室，你计划在分子办公室安装部署一台只读域控制器，域名为。实验环境：SHSVR1SHDC1ADDNS第12页，共15页。实验任务1.在AD中，预留RODC的计算机账户。2.以administrator身份登录nycsvr1计算机3.修改计算机的名称为：tor-dc4.设置sh-svr1计算机的网络属性： IP地址：0子网掩码：首选DNS：05.运行dcpromo /UseExistingAccount:Attach命令，创建只读域