【IT168 专稿】近日，Contoso公司在广州又设立了一个分支办公室，拥有大约40名工作人员，但为了节省运营成本，只申请了一条2M的ADSL进行互联网应用和与总部数据通信。由于广州办广域网链路速度慢、不可靠，而且没有专业的IT技术人员进行维护，服务器的物理安全也得不到保障，但是这40人每日的都与总部的域控制器进行身份验证和Internet访问查询的话，工作效率必将大大折扣。于是，经过IT部门讨论，他们决定在广州办部署Windows Server 2008 R2作为只读域控制器来简化IT技术人员的工作，提高广州办的办公效率，同时也可以提高广州办网络环境的的安全性。

　　一、 什么是只读域控制器（Read-Only Domain Controller）

　　RODC是Windows Server 2008 新引入的一个活动目录特性，与其他域控制器一样，RODC也包含AD数据库，但除了本地管理员和RODC账户，RODC默认不保存域用户账户密码，并且RODC中包含的数据库也是只读的。RODC只能单向的从其他可读写域控制器请求信息，而不会把任何修改传送给其他可写域控制器，这样做不仅可以降低桥头服务器的工作负载及监控负载的工作量，还可以提高分支机构网络的安全性，同时便于管理。

　　二、 RODC在Contoso公司应用的好处

　　只读活动目录服务可以降低因物理安全因素带来的网络安全威胁。

　　降低了网络之间复制的负载。

　　缓存凭证可以加速分支用户使用域服务的速度，降低了系统在遭到破坏时暴露的用户信息的数量。

　　独立并有限的管理权限，可降低分支机构管理员权限过大对活动目录的威胁。

　　只读DNS可以加快分支机构访问Internet的响应时间，但不会做动态更新，如果分支机构向要更新记录信息，RODC会向可读写域控制器的DNS发送一个DNS复制单个对象的改动请求，可读写的DNS响应这个请求后，会把改动通过单向复制传回RODC。

　　三、 部署RODC的先决条件

　　1. 森林功能级别需要是Windows 2003或以上级别。

　　2. 域内需要至少一个Windows 2008域控制器，作为RODC的复制伙伴。

　　3. PDC角色必须允许在Windows 2008上。

　　4. 活动目录内需要存在正常可读写的域控制器。