IT2web

Системному администратору Windows Server

Главная --> Active Directory --> RODC - контроллер "только для чтения" - Расширение филиалов с помощью RODC

RODC - контроллер "только для чтения" - Расширение филиалов с помощью RODC

Индекс материала
RODC - контроллер "только для чтения"
Расширение филиалов с помощью RODC
Предварительное планирование
Установка и управление
Дополнительные полномочия сервера
Размещение RODC
Масштабируемость и репликация
Кэширование учетных данных
Все страницы

Расширение филиалов с помощью RODC

Наиболее распространенные среды для RODC с AD DS – это по-прежнему филиалы. Подобные типы сред, как правило, являются конечными точками в топологии сети. Они имеют само разнообразное географическое положение, их очень много, и они являются узлами для небольшого количества пользователей, подключаются к узлам через медленное, ненадежное подключение, и им часто не хватает опытных администраторов на месте.

Филиалам, уже имеющим полноценные контроллеры домена, возможно, не нужно развертывать RODC. Однако в данной ситуации RODC не просто могут соответствовать требованиям, связанным с AD DS. Они могут даже превзойти их с отношении более строгой безопасности, улучшенного управления, упрощенной архитектуры и более низкой стоимости приобретения и эксплуатации. Для местоположений, где требования к безопасности или управляемости запрещают использовать контроллеры доменов, RODC могут помочь в введении контроллеров доменов в среду, а также предоставить некоторые удобные локализованные службы.

Несмотря на то, что новые функции и преимущества являются веским аргументов в пользу RODC, существует ряд дополнительных факторов, которые следует принять во внимание, например вопросы совместимости приложений и условия влияния на службы. Эти факторы могут сделать развертывание RODC неприемемым для ряда сред.

Например, поскольку многие приложения и службы, поддерживающие каталоги, выполняют считывание данных из AD DS, они должны продолжать работу и с RODC. Тем не менее, если некоторые приложения постоянно требуют доступа с правом записи, RODC может оказаться неприемлемым. Кроме того, RODC зависят от скорости сетевого подключения к полноценному контроллеру домена для операций записи. Несмотря на то, что сбои многие операций записи могут быть причиной наиболее хорошо известных проблем, связанных с приложениями, существуют и другие проблемы, которые следует учесть, например неэффективные операции чтения или их сбои, сбой записи и чтения, а также общие сбои приложений, связанные непосредственно с RODC.

Помимо проблем, связанных с приложениями, сбой или потеря подключения к полноценному контроллеру домена может повлиять на основные операции пользователя или компььютера. Например, могут возникать сбои базовых служб проверки подлинности, если пароли учетных записей не являются одновременно кэшируемыми и кэширующимися локально в RODC. Можно без проблем справиться с этим, создав кэшируемые учетные записи с помощью политики репликации паролей RODC, а зтем кэшируя пароли через предварительное создание. Выполнения этих мер также требует подключение к полноценным контроллерам домена.

Помимо прочих проблем, связанных с проверкой подлинности, при необходимости подключения к полноценному контроллеру домена также могут возникнуть проблемы с истечением срока действия паролей и блокировкой учетных записей. Запросы на изменение паролей и любые попытки разблокировать учетные записи вручную будут выдавать сбой до восстановления подключения к полноценному контроллеру домена. Критически важно понимать эти зависимости и связанные с ними изменения для соответствия требованиям и любым соглашениями на уровне служб.

Существует несколько общих ситуаций, в которых можно развернуть RODC.  Они полезны в местоположениях, где отсутствуют существующие контроллеры домена, или в местоположениях, где размещены контроллеры домена, которые будут или заменены, или обновлены до новой версии Windows. Несмотря на то, что для каждой ситуации есть свои соображения по планированию, мы сконцентрируемся на общих подходах. Они, тем не менее, различаются для RODC, не для традиционных полноценных контроллеров домена.



Комментарии  

 
#1 anatoly 20.10.2012 18:46
Установил RODC в 2008r2. Конечно, все немного не так устанавливается , как описано. Лучше вначале читать оригинальную Доку от MS. Ставил несколько раз, поскольку на главном DNS не оказалось записи SRC :(
Цитировать
 
 
#2 Vladimir 21.02.2013 18:59
Цитирую anatoly:
Установил RODC в 2008r2. Конечно, все немного не так устанавливается, как описано. Лучше вначале читать оригинальную Доку от MS. Ставил несколько раз, поскольку на главном DNS не оказалось записи SRC :(

А как вы лечили этот глюк?? (у меня такая же проблема... :((
Цитировать