很少有環境會面對像遠程辦公室這樣的支持挑戰。建立和維護安全的連接帶來諸多技術和過程難題。遠程辦公室連接的任何數據中心也是如此。

遠程辦公室通常分布很廣，數量一般較少，每個辦公室的用戶數相對較少，他們通過速度較慢的網絡鏈路連接到數據中心站點，現場一般都沒有熟練的 IT 管理員。每個因素本身都是一個挑戰。如果將這些因素組合在一起，您將找到 IT 難題的解決之道。

盡管大多數分支機構環境通常都具有一系列類似特點（正如此處所述），但也存在組織特定的要求，這些要求決定了環境的運營方式。安全重要性或技術資源集中程度對于不同遠程辦公室框架會有所不同。無論分支機構如何運營，Windows Server 2008 R2 都是一次部署最新技術的全新機會，將對您部署和利用遠程環境中的域控制器 (DC) 的方式帶來根本性變化。

安全解決方案

保護分支機構部署是 Active Directory 域服務 (ADDS) 的一種常見方案。遠程環境所獨有的特征和限制使其非常適合于部署 ADDS。Windows Server 2008 R2 具有用于部署 ADDS 的一系列新功能和更新的方法。讓我們看看如何在這類環境中以安全的方式部署 Windows Server 2008 R2。我們將介紹分支機構典型特征、關鍵體系結構設計元素以及特定于部署 Windows Server 2008 R2 的推薦部署選項。

Windows Server 2008 R2 的最重要方面是只讀域控制器 (RODC)。一般而言，RODC 部署在需要 DC 服務但缺少適當的物理安全措施的位置。由于安全性提高和管理功能增強，用 RODC 代替現有 DC 可能超出許多分支機構環境中的現有 ADDS 相關的要求。對于當前無 DC 的位置，RODC 是一個將 ADDS 引入環境的重要機會。

另一個重要因素是 Server Core 的更新版本，它作為 Windows Server 2008 R2 的安裝選項，提供了運行特定的受支持服務器角色（如 DC 角色）的最小環境。選擇 Server Core 將只安裝已安裝的服務器角色（本示例中為 RODC）所需的二進制文件子集。此最小安裝減少了攻擊面，降低了維護需求并簡化了管理，還有助于 RODC 服務器以更少資源運行。

因為這些因素大多都可以幫助降低分支機構環境通常具有的局限，Windows Server 2008 R2 Server Core 和 RODC 是所有遠程環境的不二之選。以下部署注意事項詳細說明了特定于 Server Core 和 RODC 組件的部署和配置選項。 

盡管可能不能滿足每個組織的分支機構要求或具體情況，但此可靠配置是相當常見的設置，此配置的大多數主要方面都已在 Windows Server 2008 安全遵從性管理工具包的當前最佳實踐指南中重點說明。

這里將逐一介紹與建立分支機構環境的安全 Windows Server 2008 R2 Server Core RODC 解決方案相關的關鍵部署注意事項。其中涵蓋了解決方案設想、重要的設計元素、基礎結構先決條件和其他相關部署選項。 

初步設計規劃

與任何 DC 部署一樣，您必須在部署前制定關鍵的設計決策。這些決策包括評估硬件要求、確定軟件升級戰略、確定 RODC 服務器版本以及確定 DC 升級順序。這些決策將指導總體部署流程和可用的配置。

您必須從硬件評估角度確定現有 DC 硬件是否符合推薦的要求。由于存在記錄完整的規范，因此這些決策對于大多數組織而言不成問題。對于支持的軟件升級途徑，因 Windows 的版本和不同的安裝選項，會有各種不同的選項。 

Server Core 要求全新安裝分支機構 DC。無法升級到此安裝選項。對于已安裝的服務器角色，出于安全目的，通常建議從服務器版本中刪除 RODC 運行不需要的所有服務器角色和服務。根據 RODC 解決方案的規定，Windows Server 2008 R2 Server Core RODC 不承載除全局編錄和 DNS 服務器之外的任何其他服務或服務器角色，這是企業組織中日益常見的做法。

部署 DC 的順序也是部署流程中關鍵的一環。推薦的順序是先在早期為每個域構建的 Windows Server 2008 R2 成員服務器的數據中心上安裝 ADDS，從林根域開始，然后將每個域的所有適用操作主機角色轉移到這些 DC 上。接著，部署數據中心位置，并完全取消這些站點中所有舊 DC 的配置。這有助于穩定大型、管理良好的位置中的 ADDS，還能簡化 RODC 部署流程本身。在替換數據中心 DC 后，您就可以啟動分支機構 DC。

Windows Server 2008 R2 林和域準備工作

在將單個 Windows Server 2008 R2 DC 部署到現有環境之前，必須通過運行 Adprep.exe 準備 Active Directory 林和域。首先，用 adprep /forestprep 命令更新承載架構操作主機角色的 DC 上的林架構。此時，您可以通過 adprep /rodcprep 命令更新林，以便安裝 ROCD。要準備每個子域，您必須在承載基礎結構主機角色的 DC 上運行 adprep /domainprep /gpprep 命令。

最后，必須在 RODC 將駐留的相同域中部署至少一個運行 Windows Server 2008 R2 的可寫 DC。同時也請注意，對于運行 Windows Server 2008 版本的 Adprep.exe 命令的環境，升級到 Windows Server 2008 R2 仍需要您用 R2 版本重新運行除 adprep /rodcprep（該命令與 Windows Server 2008 版本相比沒有變化）以外的所有命令。 

RODC 布置

從體系機構設計角度看，密碼復制策略 (PRP) 的引入使得 RODC 布置方面的注意事項出現了變化。例如，RODC 必須能夠通過 Windows Server 2008 R2 可寫 DC 建立域分區復制。由于大多數分支機構環境采用中心輻射型網絡拓撲，RODC ADDS 站點很有可能由指向 Windows Server 2008 R2 可寫 DC 所在的數據中心站點的單個低成本站點鏈接所分隔。

對于不屬于這種情況的環境，您可以在中間站點部署其他可寫 DC，部署新的站點鏈接橋或創建新的站點鏈接，以控制創建復制連接的方式。您還必須確保其他 DC 布置在與 RODC 不同的 ADDS 站點中。對于大多數通常只承載最小數量服務器的分支機構環境，這種情況不是問題。對于承載多個 DC 的位置，部署 RODC 可能完全不是可接受的解決方案。 

憑據緩存

可能，這里最重要的安全元素是憑據緩存模式。這是您在開始分支機構部署前必須仔細確定的關鍵設計部分。對于眾多環境而言，“少量可緩存帳戶”模式可能是最常見和最適合的模式。 

這種方法只將 RODC 站點中的本地帳戶配置為可緩存，提供了與最少權限和服務可用性的原則相關的適合條件。這種方法的一個缺點是它會增加管理責任，因為每個 RODC 的 PRP 都將是唯一的，并需要根據情況對帳戶進行操作置備和取消置備。

如何應對出差的用戶也是很多分支機構環境常見的設計問題。通常，分支機構環境包括一些用戶和資源，這些用戶和資源的帳戶因服務可用性目的需緩存到特定 RODC 上。理想情況下，與新雇傭的用戶類似，會提前對這些帳戶進行置備。但是，由于出差行為的隨機和不可預測特性，這種方式通常不現實，尤其對于要在很多 RODC 位置之間流動的大量資源。

要解決此問題，您可以將其他帳戶添加到相應的 RODC PRP。對于一組帳戶要求允許訪問所有 RODC PRP 的極端情況，您還可以利用默認組“只讀域控制器密碼復制組”。但是，應謹慎使用該組，因為此安全組中的成員身份使所有成員可緩存在所有 RODC 上。

另一個注意事項是可緩存帳戶的實際緩存時間。默認情況下，當將身份驗證請求轉發給 Windows Server 2008 R2 可寫 DC，并且將憑據復制到 RODC 時，只有初次登錄到 RODC 后，才會緩存。因為承載現有 DC 的分支機構環境很可能仍保持著先前已有的與服務可用性有關的要求，選擇在 RODC 上預填充憑據可能一項關鍵操作。

在 RODC 站點中的所有帳戶尚需緩存其憑據的 ROCD 初始部署過程中，這尤其重要。一旦已配置 PRP 并將帳戶標記為可緩存，您就可以使用 RODC 上的預填充密碼。但是，請務必注意，使用預填充密碼的兩種傳統方式具有一些限制。目前，使用安全組時不允許使用 Active Directory 用戶和計算機控制臺或 repadmin 命令。

因為一次對一個帳戶預填充密碼或根據組織單位進行小批量預填充可能不現實，所以您可以通過腳本方式使用安全組。例如，為了利用用于授權在特定 RODC 上緩存憑據的相同安全組，可使用以下代碼：

For /F %%a in ('"dsquery group dc=corp,dc=contoso,dc=com -name <Groupname>| dsget group -members"') do (Repadmin /rodcpwdrepl <RODCname> <RWDCname> %%a)

RODC 階段安裝

在 Windows Server 2008 R2 提供的兩種 DC 安裝方式中，階段安裝方式比直接安裝更可取。直接替代方式與 Windows 早期版本中提供的傳統過程一樣。階段安裝使用管理員角色分離 (ARS)，這是 Windows Server 2008 R2 中的一項功能，將安裝和管理 RODC 服務器的能力委派給非服務管理員，但不賦予 Active Directory 權限。

從安全性角度考慮，階段安裝方式不再要求在可能不安全的分支機構位置使用高度提升的憑據。出于這一原因，建議在數據中心布置 DC 以支持遠程辦公室的觀點不再適用。階段安裝將 RODC 安裝過程分為兩個階段。

第一個階段要求 ADDS 服務管理員預先創建 RODC 的計算機帳戶，并提供計算機名、相應的 ADDS 站點、要安裝的服務器角色、PRP 配置和 ARS 委派等配置信息。最佳做法是，委派的管理員應由安全組代表，且每個成員的憑據都應緩存在 RODC 上。第二個階段是委派的 RODC 服務器管理員使用其非 ADDS 服務管理員憑據將工作組服務器加入預先創建的 RODC 帳戶，并完成 RODC 提升過程。

RODC 提升源

對于 RODC 提升源，此配置使用“從媒體安裝 (IFM)”安裝選項及階段安裝。此選項大幅減少了安裝 ADDS 的過程中復制到 RODC 的數據量。在使用 Windows Server 2008 R2 可寫 DC 上的 Ntdsutil.exe 時，可選擇四種安裝媒體。在這四種媒體中，只有兩種與本文相關，就是 RODC 和帶 SYSVOL 的 RODC。 

RODC 媒體與完全安裝媒體類似，但不包含密碼等緩存的機密信息。從分支機構安全角度看這是一項重要功能。制作 RODC 媒體的唯一要求是您必須安裝了 Windows Server 2008 R2 可寫 DC。但是，第二種安裝媒體，即帶 SYSVOL 的 RODC，從基礎結構角度看要求更高。盡管 Ntdsutil.exe 將創建帶 SYSVOL 的 RODC 媒體，但在安裝過程中使用該媒體還需要分布式文件系統復制 (DFS-R) 以進行 SYSVOL 復制，這需要域功能級別的 Windows Server 2008 R2。

考慮到具有分支機構環境的大多數組織很可能不滿足此條件，該媒體使用選項很可能只在初始部署完成后才能使用。但是，一旦達到這個階段，遷移到 DFS-R 并同時使用 RODC 和帶 SYSVOL 的 RODC 安裝媒體不僅能最大限度減少目錄復制，還能使未來安裝分支機構 DC 更具效率。

運行 DCPROMO

在部署此配置時 Active Directory 域控制器安裝向導將不可用，因為它使用運行 Windows Server 2008 R2 Server Core 的 RODC。在實際 RODC 提升過程中不能使用此配置。因此，除了使用 IFM 進行的階段安裝之外，包含 Dcpromo.exe 的無人參與文件也將安裝 DC 角色。從安全性和可管理性角度看，這一解決方案特點促進了安全和一致的 DC 構建做法，有助于在分支機構環境中保持 ADDS 安全性和配置。

此外，自動化、可預測及可重復的構建做法可最大限度地降低通過手動干預將未授權的軟件、服務和配置引入構建過程的可能性。下面是一個 dcpromo 命令示例和一個簡單的應答文件示例：

DCPROMO /unattend:c:\unattend.txt

[DCINSTALL]

ReplicaDomainDNSName=corp.contoso.com

UserDomain=corp

UserName=corp\<delegated RODC security group>

Password=*

ReplicationSourcePath=C: \IFM

Safemodeadminpassword=<password>

請務必注意，如果應答文件中包含任何手動 PRP 配置，且不是在階段安裝的 RODC 帳戶預先創建過程中加入，則必須明確添加所有默認的 PRP 值。在應答文件中手動添加明確的 PRP 配置將從根本上以應答文件中指定的配置替換默認的 PRP 配置。

復制

由于 Windows Server 2008 R2 RODC 提供了單向復制，因此以 RODC 替換現有分支機構 DC 將降低數據中心橋頭服務器的性能負載，這些服務器通常處理分支機構 DC 的入站復制。對于分支機構環境，這非常重要。它提高了靈活性，可減少數據中心所需服務器總數。

RODC 還可自動將出站連接對象平均地分布到中心站點橋頭服務器，在 Windows Server 2003 中需要 Adlb.exe 這樣的附加工具才能實現該操作。出于這一原因，建議您在部署任何 RODC 前將所有數據中心 DC 升級到 Windows Server 2008 R2。這可確保入站復制連接得以均勻地進行負載平衡，就不再需要使用替代方式來解決與數據中心橋頭服務器在 RODC 部署過程中過載相關的問題。

此詳盡的設計和部署指南可幫助分支機構安全地部署 Windows Server 2008 R2 Server Core RODC。通過介紹分支機構特征的關鍵方面、重要的設計元素以及推薦的部署選項，將來您可將此指南作為 RODC 分支機構部署的最佳實踐。

原文：http://technet.microsoft.com/zh-cn/magazine/ff679937.aspx

來源：微軟TechNet中文站