Windows Server 2008首次引入只读域控制器( RODC功能)。RODC技术的主要任务是在难以为具有DC角色的服务器提供物理保护的远程分支和办公室中安全地安装自己的域控制器。RODC包含Active Directory数据库的只读副本。这意味着没有人可以更改AD中的数据(包括重置域管理员密码)，甚至可以物理访问域控制器。

在本文中，我们将了解RODC的主要功能，以及如何在Windows Server 2015上部署新的只读域控制器。

只读域控制器(RODC)的特点

以下是RODC与普通读/写域控制器(RWDC)的主要区别

RODC存储AD数据库的只读副本。因此，此域控制器的客户端无法对其进行更改。

RODC不会将AD数据和SYSVOL文件夹复制到其他域控制器(RWDC)。

除了AD对象的密码散列和包含敏感信息的其他属性外，RODC存储AD数据库的完整副本。这组属性称为 过滤属性集(FAS)。其中包括ms PKI AccountCredentials、ms FVE RecoveryPassword、ms PKI DPAPIMasterKeys等属性。如果需要，我们可以添加一些其他属性，例如，如果我们使用的是LAPS，则应该将ms MCS AdmPwd添加到集合中。

如果RODC接收到来自用户的身份验证请求，它将该请求转发给RWDC。

RODC可以缓存某些用户的凭据(它加快了身份验证的速度，并允许用户在域控制器上进行授权，即使没有连接到功能齐全的DC)。

我们可以向普通域用户(例如，对于分支SysOps)提供对RODC的管理RDP访问。

部署只读域控制器的要求。

必须在服务器上分配静态IP

必须禁用或者正确配置Windows防火墙才能在DCs和客户端访问之间传递流量

必须将最近的RWDC指定为DNS服务器

使用服务器管理器GUI安装RODC

同意安装[添加所有服务器和服务器管理器**添加的角色和服务器管理器。

指定新DC的设置时，请选中 将域控制器添加到现有域选项，如果需要，请指定具有域管理员权限的用户帐户的域名和凭据。

指定必须安装DNS服务器、全局编录(GC)和RODC功能。然后选择新控制器所在的站点，以及在DSRM模式下访问它的密码。

在下一个指定RODC选项的窗口中，指定将被委派对域控制器的管理访问权限的用户，以及允许或者拒绝将其密码复制到RODC的帐户/组列表(我们可以稍后执行)。

指定可以从任何DC复制AD数据库中的信息。

然后指定到NTDS数据库、日志和SYSVOL文件夹的路径(如果需要，可以稍后将它们传输到另一个磁盘)。

仅此而已。选中所有选项后，可以安装角色。

在Windows Server 2015上使用PowerShell安装RODC

要使用PowerShell部署新的RODC，必须安装ADDS role和ADDS PowerShell模块：

Add-WindowsFeature AD-Domain-Services, RSAT-AD-AdminCenter,RSAT-ADDS-Tools

现在可以安装RODC：

Install-ADDSDomainController -ReadOnlyReplica -DomainName theitroad.local -SiteName "Default-First-Site-Name" -InstallDns:$true -NoGlobalCatalog:$false

安装结束后，cmdlet将提示我们重新启动服务器。

可以使用RODC命令验证服务器是否正在运行：

[Get-ADDomainController**(http://theitroad.local/get-addomaincontroller-dc-info-powershell/) -Identity LonRODC16

IsReadOnly属性的值必须为True。