Windows Server 2008系統(tǒng)中只讀域控制器的概述

從Windows 2000操作系統(tǒng)開(kāi)始，活動(dòng)目錄就已經(jīng)成為Windows操作系統(tǒng)網(wǎng)絡(luò)管理中的標(biāo)準(zhǔn)，包括登陸過(guò)程、驗(yàn)證、域名系統(tǒng)以及其他域功能在內(nèi)的所有網(wǎng)絡(luò)活動(dòng)都受到其控制。而多主域控制器和復(fù)制的出現(xiàn)，則讓全球網(wǎng)絡(luò)管理一體化的目標(biāo)更近了一大步。

在Windows Server 2008操作系統(tǒng)中，活動(dòng)目錄功能得到了改善，而只讀域控制器就屬于這些改善中的一項(xiàng)。這項(xiàng)功能可以在保證服務(wù)器和遠(yuǎn)程終端安全不受到影響的情況下，為遠(yuǎn)程辦公的活動(dòng)目錄信息進(jìn)行更快的驗(yàn)證，幫助它們提高獲取資源的速度。它是通過(guò)為遠(yuǎn)程終端上的Windows Server 2008域控制器提供包含了大部分活動(dòng)目錄信息的只讀副本實(shí)現(xiàn)這樣的效果的，

登錄時(shí)安全性獲得了改善

包括賬戶(hù)名和密碼在內(nèi)的用戶(hù)身份驗(yàn)證信息，不能被復(fù)制到只讀域控制器服務(wù)器上。這樣在服務(wù)器受到侵害的時(shí)間造成的損失就可以受到控制，不至于影響到整個(gè)活動(dòng)目錄數(shù)據(jù)庫(kù)里用戶(hù)名和密碼的使用。當(dāng)用戶(hù)要求進(jìn)行身份驗(yàn)證的時(shí)間，將會(huì)在本地的只讀域控制器里進(jìn)行信息查詢(xún)，而不是復(fù)制授權(quán)證書(shū)。

如果在活動(dòng)目錄數(shù)據(jù)庫(kù)的本地副本中找不到信息的話(huà)，將會(huì)把請(qǐng)求提交給網(wǎng)絡(luò)中的另一個(gè)域控制器確認(rèn)用戶(hù)的權(quán)限。一旦用戶(hù)獲得了身份驗(yàn)證，就可以把信息保存在本地。當(dāng)用戶(hù)再次登陸的時(shí)間，就可以使用授權(quán)證書(shū)的緩存副本，從而提高登錄的速度。

當(dāng)授權(quán)證書(shū)發(fā)生了變化—舉例來(lái)說(shuō)，當(dāng)用戶(hù)密碼已經(jīng)過(guò)期了—只讀域控制器將對(duì)登錄進(jìn)行分析，密碼不能匹配緩存中的密碼，這時(shí)請(qǐng)求會(huì)轉(zhuǎn)交到另一個(gè)域控制器。這樣的話(huà)，在用戶(hù)密碼丟失這種情況出現(xiàn)時(shí)，服務(wù)器本身受到的損害將會(huì)降低。

域名系統(tǒng)也變得更安全

對(duì)于只讀域控制器來(lái)說(shuō)，另一個(gè)優(yōu)點(diǎn)就是復(fù)制的域名系統(tǒng)也屬于只讀的?；顒?dòng)目錄中的所有域名系統(tǒng)信息都會(huì)復(fù)制到只讀域控制器上，但復(fù)制的域名系統(tǒng)不會(huì)更新，注冊(cè)或者更新必須在另外的域控制器上進(jìn)行。

這些更新，再?gòu)?fù)制到只讀域控制器上。查詢(xún)和命名解決方案的運(yùn)行和通常情況下是一樣的，只要在本地運(yùn)行域名系統(tǒng)的副本就可以改善用戶(hù)的體驗(yàn)。域名系統(tǒng)的緩存信息也將復(fù)制到只讀域控制器上。

這樣的配置可以提高網(wǎng)絡(luò)的整體性能并改善使用活動(dòng)目錄的遠(yuǎn)程辦公終端性能;但在這樣配置的時(shí)間，也有一些方面需要注意：

Windows Server 2008操作系統(tǒng)中的第一個(gè)域控制器在現(xiàn)有活動(dòng)目錄環(huán)境不能成為只讀域控制器。在Windows Server 2008操作系統(tǒng)中，必須首先安裝全功能的域控制器，以便對(duì)只讀域控制器進(jìn)行復(fù)制操作。

在安裝第一個(gè)只讀域控制器前，必須運(yùn)行活動(dòng)目錄準(zhǔn)備工具adprep和rodcprep以保證只讀域控制器的安裝獲得了許可。

在任何情況下，只讀域控制器都不能成為全局編錄服務(wù)器，也不能在目錄環(huán)境下?lián)慰梢赃M(jìn)行主機(jī)操作的角色。

Windows Server 2008操作系統(tǒng)發(fā)布，對(duì)于分散的網(wǎng)絡(luò)環(huán)境來(lái)說(shuō)，只讀域控制器將可以提供非常大的幫助。也希望大家能夠多多了解這方面的知識(shí)和內(nèi)容。

【編輯推薦】

1. Windows Server 2008 R2的用戶(hù)體驗(yàn)
2. Windows Server 2008驅(qū)動(dòng)安裝全攻略
3. Windows Server 2008 R2 SP1新添功能亮點(diǎn)
4. Windows Server 2008 R2 遠(yuǎn)程訪問(wèn)可選方案