%20%E7%AB%99%E7%82%B9%E4%B8%AD%E7%9A%84%E5%9F%9F.png)
我有一个站点,物理安全性和网络连接都很糟糕。因此我需要一个现场域控制器(用于网络连接中断时),但出于安全原因,它也必须是 RODC。
该办公室现场的机器可以访问网络其他部分的其他读写域控制器。没有防火墙阻止它们。我只是不希望有人能够将键盘/鼠标插入我们现场的域控制器并更改内容。
在此站点上向域中添加新计算机时,我是否需要遵循在 AD 中创建计算机对象然后执行离线域加入的过程(https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd392267(v=ws.10))?或者我能否以某种方式强制当前不属于域的机器转到 RWDC(在另一个 AD 站点中配置)以正常方式添加到域中?
答案1
遗憾的是,您似乎必须创建一个计算机帐户,然后像您已经发现的那样通过 AD 域复制它:
我发现这个脚本声称它也可以做到这一点:
https://gallery.technet.microsoft.com/Domain-Join-through-an-9a010eb5
我在 TechNet 库中找到的大多数脚本都运行良好。但是由于我没有 RODC,所以很遗憾无法进行测试。也许有办法将其重定向到属于另一个站点的另一个 DC,但是如果您有严格的安全合规性,那么这样做可能不妥。
编辑
如果您要尝试将其指向不同的 DC,我认为这就像配置客户端 DNS 以指向 RWDC 一样简单。然后通过 DHCP 或手动配置将 IP 设置(尤其是 DNS)重置为 RODC。但是,如果您有合规性,那么您必须满足这一点,这可能会遭到反对。