在缺乏物理安全性時,提高對數據安全性的關注就變得很重要。Windows Server 2008 和 R2 提供了一些新方法來實現這一點,這些方法似乎就是專門為物理安全性不嚴格的遠程辦公室這樣的環境量身定制的。只讀域控制器 (RODC) 是 Windows Server 系統中 Active Directory 域服務 (AD DS) 的一項新功能。只讀域控制器體現了對通常使用域控制器 (DC) 的方式的根本改變。
因為 RODC 的許多新功能會影響設計和部署過程的關鍵方面,所以了解如何在您的企業中利用這些功能十分重要。在將這些功能引入到您的環境中之前,還有一些必須考慮的關鍵性設計和規劃注意事項。RODC 是這樣一種 DC,它承載 Active Directory 數據庫分區的完整只讀副本、SYSVOL 的只讀副本,以及對來自可寫 DC 的某些應用程序數據的入站復制進行限制的篩選屬性集 (FAS)。
默認情況下,RODC 不會有選擇地存儲用戶和計算機帳戶憑據,但是您可以將其配置為進行選擇性存儲。這通常只會保證在遠程分支機構中或在數據中心 Intranet 中通常缺少物理安全性的外圍網絡中使用 RODC。RODC 還提供其他不太知名的安全功能,例如專門的 Kerberos RODC 票證授予帳戶,用於應對與遭到破壞的 RODC 本身相關聯的基於票證的攻擊。
雖然關注安全性是部署 RODC 的最常見原因,但是 RODC 也提供了許多其他優點,例如企業可管理性和可伸縮性。一般而言,RODC 用於需要本地身份驗證和授權,但缺乏安全地使用可寫 DC 的物理安全性這樣的環境。因此,RODC 在數據中心外圍網絡或分支機構位置中最常見。
需要 AD DS 的數據中心就是有效利用 RODC 的一個典范,但是由於安全約束而無法在外圍網絡中利用公司的 AD DS 林。在這種情況下,RODC 可能滿足相關的安全要求,因此改變了公司實現 AD DS 的基礎結構范圍。此類情形將可能變得更常見。這也反應了外圍網絡的當前最佳實踐 AD DS 模型,例如擴展的公司林模型。
使用 RODC 建立分支機構
使用 AD DS 的 RODC 的最常見環境仍然是分支機構。這類環境通常是中心輻射型網絡拓撲中的端點。它們通常分布於廣泛的地理位置中,而且數量巨大,分別承載少量用戶群,通過速度較慢且不可靠的網絡鏈路連接到中心站點,並且常常缺乏經驗豐富的本地管理員。
對於已經承載可寫 DC 的分支機構,可能不需要部署 RODC。但是在這種情況下,RODC 不但可滿足現有的 AD DS 相關要求,而且超出其關於提高安全性、增強管理、簡化體系結構和降低總體擁有成本 (TCO) 的要求。對於由於安全性或可管理性要求而禁止使用 DC 的位置,RODC 可幫助您將 DC 引入環境中,並提供大量有益的本地化服務。
雖然新功能和優點使得評估 RODC 備受矚目,但是還有其他因素需要考慮,例如應用程序兼容性問題和服務影響情況。這些因素可能致使某些環境不可接受 RODC 部署。
例如,由於許多支持目錄的應用程序和服務從 AD DS 讀取數據,它們應繼續運行和使用 RODC。但是,如果某些應用程序在所有時間都需要可寫權限,則可能無法接受 RODC。RODC 對可寫 DC 的寫操作還取決於網絡連接。雖然寫操作失敗可能是最常見的與應用程序相關的問題所導致,但是還要考慮其他問題,例如讀取操作效率低下或失敗,寫入-讀取-返回操作失敗,以及與 RODC 本身相關聯的一般應用程序故障。
除了應用程序問題,與可寫 DC 的連接中斷或丟失時也可能影響基本的用戶和計算機操作。例如,如果帳戶密碼不可緩存,也未在本地 RODC 上緩存,則基本身份驗證服務可能會失敗。通過 RODC 的密碼復制策略 (PRP) 使帳戶可進行緩存,然後通過預填充來緩存密碼,您可以消除解決此問題。執行這些步驟也需要連接到可寫 DC。
當無法連接到可寫 DC 時,密碼過期和帳戶鎖定與其他身份驗證問題均會受到明顯影響。在恢復與可寫 DC 之間的連接之前,密碼更改請求和任何對鎖定帳戶進行手動解鎖的嘗試都將失敗。了解這些依賴關系和操作行為的後續變化,對確保滿足您的要求和任何服務級別協議 (SLA) 極為關鍵。
在幾種一般情況下,您可以部署 RODC。在當前不存在 DC 的位置,或者當前承載的 DC 將被更換或升級到更新版本 Windows 的位置,RODC 十分有用。雖然針對每種情況都有特定的綜合性規劃考慮,但是我們在此重點討論非特定方法。但是,這些方法是針對 RODC 的截然不同的方法,而不是針對傳統可寫 DC 的。