IT2web

Системному администратору Windows Server

Главная --> Active Directory --> RODC - контроллер "только для чтения"

RODC - контроллер "только для чтения"



Индекс материала
RODC - контроллер "только для чтения"
Расширение филиалов с помощью RODC
Предварительное планирование
Установка и управление
Дополнительные полномочия сервера
Размещение RODC
Масштабируемость и репликация
Кэширование учетных данных
Все страницы
В отсутствие физической безопасности становится жизненно важным сконцентрироваться на безопасности данных. Windows Server 2008 и R2 предоставляют новые способы обеспечить безопасность, которые кажутся специально адаптированными для удаленных офисов, где физическая безопасность может быть не очень надежной. Контроллеры домена только для чтения (RODC) – новая функция доменных служб Active Directory в системах Windows Server. Они представляют собой фундаментальное изменение по сравнению с прежнем использованием контроллеров домена.

 

Поскольку многие возможности RODC оказывают влияние на ключевые аспекты процесса разработки и развертывания, важно понимать, как можно максимально использовать их на преприятии. Кроме того, существуют важнейшие соображения в области разработки и планирования, которые следует учесть перед введением их в своей среде. RODC и DC, на которых находятся экземпляры разделов баз данных Active Directory, копии SYSVOL только для чтения, а также FAS, ограничивающий входящий трафик репликации данных некоторых приложений из DC с разрешением на запись.

По умолчанию RODC не хранят избирательно учетные данные пользователя и компьютера, но можно настроить их на выполнение этих задач. Как правило, это является гарантией использования RODC в удаленных филиалах или периметрах сети, где не хватает физической безопасности, которая присуща интранетам сетей данных. RODC также предоставляют другие функции безопасности, менее известные, такие как специальная учетная запись Kerberos, которая работает с атаками на основе билетов, связанных с ошибками RODC.

Несмотря на то, что основной причиной развертывания RODC являются соображения безопасности, есть и ряд других преимуществ, например управляемость предприятия и масштабируемость. В целом, RODC созданы для сред, требующих локальной проверки подлинности и авторизации, но вместе с тем испытывающих недостаточную физическую безопасность для безопасного использования полноценных контроллеров доменов. Следовательно, RODC наиболее распространены в периметрах сетей центров данных или в филиалах.

Примером хорошего использования RODC является центр данных, который требует AD DS, однако из-за ограничений безопасности не может использовать корпоративный лес AD DS в периметре сети. В этом случае RODC может соответствовать релевантным требованиям к безопасности, следовательно, изменить масштаб инфраструктуры корпоративной реализации AD DS. Ситуации такого типа, вероятно, будут встречаться все чаще. Они также отражают лучшую методику использования моделей AD DS для периметров сетей, например моделей расширенных корпоративных лесов.



Комментарии  

 
#1 anatoly 21.10.2012 09:46
Установил RODC в 2008r2. Конечно, все немного не так устанавливается , как описано. Лучше вначале читать оригинальную Доку от MS. Ставил несколько раз, поскольку на главном DNS не оказалось записи SRC :(
Цитировать
 
 
#2 Vladimir 22.02.2013 09:59
Цитирую anatoly:
Установил RODC в 2008r2. Конечно, все немного не так устанавливается, как описано. Лучше вначале читать оригинальную Доку от MS. Ставил несколько раз, поскольку на главном DNS не оказалось записи SRC :(

А как вы лечили этот глюк?? (у меня такая же проблема... :((
Цитировать
 

 

Яндекс.Метрика