您現(xiàn)在的位置:首頁 >關于我們 >行業(yè)新聞 >Win2008 R2 域控制器: 仔細規(guī)劃 RODC

Win2008 R2 域控制器: 仔細規(guī)劃 RODC

時間:2010年12月8日
    在缺乏物理安全性時,提高對數(shù)據(jù)安全性的關注就變得很重要。Windows Server 2008 和 R2 提供了一些新方法來實現(xiàn)這一點,這些方法似乎就是專門為遠程辦公室這樣的環(huán)境量身定制的。只讀域控制器 (RODC) 是 Windows Server 系統(tǒng)中 Active Directory 域服務 (AD DS) 的一項新功能。只讀域控制器體現(xiàn)了對通常使用域控制器 (DC) 的方式的根本改變。(服務器托管)

  因為 RODC 的許多新功能會影響設計和部署過程的關鍵方面,所以了解如何在您的企業(yè)中利用這些功能十分重要。在將這些功能引入到您的環(huán)境中之前,還有一些必須考慮的關鍵性設計和規(guī)劃注意事項。RODC 是這樣一種 DC,它承載 Active Directory 數(shù)據(jù)庫分區(qū)的完整只讀副本、SYSVOL 的只讀副本,以及對來自可寫 DC 的某些應用程序數(shù)據(jù)的入站復制進行限制的篩選屬性集 (FAS)。

  默認情況下,RODC 不會有選擇地存儲用戶和計算機帳戶憑據(jù),但是您可以將其配置為進行選擇性存儲。這通常只會保證在遠程分支機構中或在數(shù)據(jù)中心 Intranet 中通常缺少物理安全性的外圍網絡中使用 RODC。RODC 還提供其他不太知名的安全功能,例如專門的 Kerberos RODC 票證授予帳戶,用于應對與遭到破壞的 RODC 本身相關聯(lián)的基于票證的攻擊。

  雖然關注安全性是部署 RODC 的最常見原因,但是 RODC 也提供了許多其他優(yōu)點,例如企業(yè)可管理性和可伸縮性。一般而言,RODC 用于需要本地身份驗證和授權,但缺乏安全地使用可寫 DC 的物理安全性這樣的環(huán)境。因此,RODC 在數(shù)據(jù)中心外圍網絡或分支機構位置中最常見。

  需要 AD DS 的數(shù)據(jù)中心就是有效利用 RODC 的一個典范,但是由于安全約束而無法在外圍網絡中利用公司的 AD DS 林。在這種情況下,RODC 可能滿足相關的安全要求,因此改變了公司實現(xiàn) AD DS 的基礎結構范圍。此類情形將可能變得更常見。這也反應了外圍網絡的當前最佳實踐 AD DS 模型,例如擴展的公司林模型。

使用 RODC 建立分支機構

  使用 AD DS 的 RODC 的最常見環(huán)境仍然是分支機構。這類環(huán)境通常是中心輻射型網絡拓撲中的端點。它們通常分布于廣泛的地理位置中,而且數(shù)量巨大,分別承載少量用戶群,通過速度較慢且不可靠的網絡鏈路連接到中心站點,并且常常缺乏經驗豐富的本地管理員。

  對于已經承載可寫 DC 的分支機構,可能不需要部署 RODC。但是在這種情況下,RODC 不但可滿足現(xiàn)有的 AD DS 相關要求,而且超出其關于提高安全性、增強管理、簡化體系結構和降低總體擁有成本 (TCO) 的要求。對于由于安全性或可管理性要求而禁止使用 DC 的位置,RODC 可幫助您將 DC 引入環(huán)境中,并提供大量有益的本地化服務。

  雖然新功能和優(yōu)點使得評估 RODC 備受矚目,但是還有其他因素需要考慮,例如應用程序兼容性問題和服務影響情況。這些因素可能致使某些環(huán)境不可接受 RODC 部署。

  例如,由于許多支持目錄的應用程序和服務從 AD DS 讀取數(shù)據(jù),它們應繼續(xù)運行和使用 RODC。但是,如果某些應用程序在所有時間都需要可寫權限,則可能無法接受 RODC。RODC 對可寫 DC 的寫操作還取決于網絡連接。雖然寫操作失敗可能是最常見的與應用程序相關的問題所導致,但是還要考慮其他問題,例如讀取操作效率低下或失敗,寫入-讀取-返回操作失敗,以及與 RODC 本身相關聯(lián)的一般應用程序故障。

  除了應用程序問題,與可寫 DC 的連接中斷或丟失時也可能影響基本的用戶和計算機操作。例如,如果帳戶密碼不可緩存,也未在本地 RODC 上緩存,則基本身份驗證服務可能會失敗。通過 RODC 的密碼復制策略 (PRP) 使帳戶可進行緩存,然后通過預填充來緩存密碼,您可以消除解決此問題。執(zhí)行這些步驟也需要連接到可寫 DC。

  當無法連接到可寫 DC 時,密碼過期和帳戶鎖定與其他身份驗證問題均會受到明顯影響。在恢復與可寫 DC 之間的連接之前,密碼更改請求和任何對鎖定帳戶進行手動解鎖的嘗試都將失敗。了解這些依賴關系和操作行為的后續(xù)變化,對確保滿足您的要求和任何服務級別協(xié)議 (SLA) 極為關鍵。

  在幾種一般情況下,您可以部署 RODC。在當前不存在 DC 的位置,或者當前承載的 DC 將被更換或升級到更新版本 Windows 的位置,RODC 十分有用。雖然針對每種情況都有特定的綜合性規(guī)劃考慮,但是我們在此重點討論非特定方法。但是,這些方法是針對 RODC 的截然不同的方法,而不是針對傳統(tǒng)可寫 DC 的。 (服務器托管)

Copyright© 2004-2020 河南海騰電子技術有限公司 版權所有   經營性ICP/ISP證 備案號:B1-20180452   豫公網安備 41019702002018號    電子營業(yè)執(zhí)照