虚拟化 频道

Win2008 R2实战之只读域控制器部署(图)

  【IT168 专稿】近日,Contoso公司在广州又设立了一个分支办公室,拥有大约40名工作人员,但为了节省运营成本,只申请了一条2M的ADSL进行互联网应用和与总部数据通信。由于广州办广域网链路速度慢、不可靠,而且没有专业的IT技术人员进行维护,服务器的物理安全也得不到保障,但是这40人每日的都与总部的域控制器进行身份验证和Internet访问查询的话,工作效率必将大大折扣。于是,经过IT部门讨论,他们决定在广州办部署Windows Server 2008 R2作为只读域控制器来简化IT技术人员的工作,提高广州办的办公效率,同时也可以提高广州办网络环境的的安全性。

  一、 什么是只读域控制器(Read-Only Domain Controller)

  RODC是Windows Server 2008 新引入的一个活动目录特性,与其他域控制器一样,RODC也包含AD数据库,但除了本地管理员和RODC账户,RODC默认不保存域用户账户密码,并且RODC中包含的数据库也是只读的。RODC只能单向的从其他可读写域控制器请求信息,而不会把任何修改传送给其他可写域控制器,这样做不仅可以降低桥头服务器的工作负载及监控负载的工作量,还可以提高分支机构网络的安全性,同时便于管理。

  二、 RODC在Contoso公司应用的好

  只读活动目录服务可以降低因物理安全因素带来的网络安全威胁。

  降低了网络之间复制的负载。

  缓存凭证可以加速分支用户使用域服务的速度,降低了系统在遭到破坏时暴露的用户信息的数量。

  独立并有限的管理权限,可降低分支机构管理员权限过大对活动目录的威胁。

  只读DNS可以加快分支机构访问Internet的响应时间,但不会做动态更新,如果分支机构向要更新记录信息,RODC会向可读写域控制器的DNS发送一个DNS复制单个对象的改动请求,可读写的DNS响应这个请求后,会把改动通过单向复制传回RODC。

  三、 部署RODC的先决条件

  1. 森林功能级别需要是Windows 2003或以上级别。

  2. 域内需要至少一个Windows 2008域控制器,作为RODC的复制伙伴。

  3. PDC角色必须允许在Windows 2008上。

  4. 活动目录内需要存在正常可读写的域控制器。

 

0
相关文章