只讀域控制器 (RODC) 是 Windows Server 系統(tǒng)中 Active Directory 域服務(wù) (AD DS) 的一項新功能。只讀域控制器體現(xiàn)了對通常使用域控制器 (DC) 的方式的根本改變。在缺乏物理安全性時，提高對數(shù)據(jù)安全性的關(guān)注就變得很重要。Windows Server 2008 和 R2 提供了一些新方法來實現(xiàn)這一點，這些方法似乎就是專門為物理安全性不嚴(yán)格的遠(yuǎn)程辦公室這樣的環(huán)境量身定制的。

因為 RODC 的許多新功能會影響設(shè)計和部署過程的關(guān)鍵方面，所以了解如何在您的企業(yè)中利用這些功能十分重要。在將這些功能引入到您的環(huán)境中之前，還有一些必須考慮的關(guān)鍵性設(shè)計和規(guī)劃注意事項。RODC 是這樣一種 DC，它承載 Active Directory 數(shù)據(jù)庫分區(qū)的完整只讀副本、SYSVOL 的只讀副本，以及對來自可寫 DC 的某些應(yīng)用程序數(shù)據(jù)的入站復(fù)制進(jìn)行限制的篩選屬性集 (FAS)。

默認(rèn)情況下，RODC 不會有選擇地存儲用戶和計算機(jī)帳戶憑據(jù)，但是您可以將其配置為進(jìn)行選擇性存儲。這通常只會保證在遠(yuǎn)程分支機(jī)構(gòu)中或在數(shù)據(jù)中心 Intranet 中通常缺少物理安全性的外圍網(wǎng)絡(luò)中使用 RODC。RODC 還提供其他不太知名的安全功能，例如專門的 Kerberos RODC 票證授予帳戶，用于應(yīng)對與遭到破壞的 RODC 本身相關(guān)聯(lián)的基于票證的攻擊。

雖然關(guān)注安全性是部署 RODC 的最常見原因，但是 RODC 也提供了許多其他優(yōu)點，例如企業(yè)可管理性和可伸縮性。一般而言，RODC 用于需要本地身份驗證和授權(quán)，但缺乏安全地使用可寫 DC 的物理安全性這樣的環(huán)境。因此，RODC 在數(shù)據(jù)中心外圍網(wǎng)絡(luò)或分支機(jī)構(gòu)位置中最常見。

需要 AD DS 的數(shù)據(jù)中心就是有效利用 RODC 的一個典范，但是由于安全約束而無法在外圍網(wǎng)絡(luò)中利用公司的 AD DS 林。在這種情況下，RODC 可能滿足相關(guān)的安全要求，因此改變了公司實現(xiàn) AD DS 的基礎(chǔ)結(jié)構(gòu)范圍。此類情形將可能變得更常見。這也反應(yīng)了外圍網(wǎng)絡(luò)的當(dāng)前最佳實踐 AD DS 模型，例如擴(kuò)展的公司林模型。

使用 RODC 建立分支機(jī)構(gòu)

使用 AD DS 的 RODC 的最常見環(huán)境仍然是分支機(jī)構(gòu)。這類環(huán)境通常是中心輻射型網(wǎng)絡(luò)拓?fù)渲械亩它c。它們通常分布于廣泛的地理位置中，而且數(shù)量巨大，分別承載少量用戶群，通過速度較慢且不可靠的網(wǎng)絡(luò)鏈路連接到中心站點，并且常常缺乏經(jīng)驗豐富的本地管理員。

對于已經(jīng)承載可寫 DC 的分支機(jī)構(gòu)，可能不需要部署 RODC。但是在這種情況下，RODC 不但可滿足現(xiàn)有的 AD DS 相關(guān)要求，而且超出其關(guān)于提高安全性、增強(qiáng)管理、簡化體系結(jié)構(gòu)和降低總體擁有成本 (TCO) 的要求。對于由于安全性或可管理性要求而禁止使用 DC 的位置，RODC 可幫助您將 DC 引入環(huán)境中，并提供大量有益的本地化服務(wù)。

雖然新功能和優(yōu)點使得評估 RODC 備受矚目，但是還有其他因素需要考慮，例如應(yīng)用程序兼容性問題和服務(wù)影響情況。這些因素可能致使某些環(huán)境不可接受 RODC 部署。

例如，由于許多支持目錄的應(yīng)用程序和服務(wù)從 AD DS 讀取數(shù)據(jù)，它們應(yīng)繼續(xù)運行和使用 RODC。但是，如果某些應(yīng)用程序在所有時間都需要可寫權(quán)限，則可能無法接受 RODC。RODC 對可寫 DC 的寫操作還取決于網(wǎng)絡(luò)連接。雖然寫操作失敗可能是最常見的與應(yīng)用程序相關(guān)的問題所導(dǎo)致，但是還要考慮其他問題，例如讀取操作效率低下或失敗，寫入-讀取-返回操作失敗，以及與 RODC 本身相關(guān)聯(lián)的一般應(yīng)用程序故障。

除了應(yīng)用程序問題，與可寫 DC 的連接中斷或丟失時也可能影響基本的用戶和計算機(jī)操作。例如，如果帳戶密碼不可緩存，也未在本地 RODC 上緩存，則基本身份驗證服務(wù)可能會失敗。通過 RODC 的密碼復(fù)制策略 (PRP) 使帳戶可進(jìn)行緩存，然后通過預(yù)填充來緩存密碼，您可以消除解決此問題。執(zhí)行這些步驟也需要連接到可寫 DC。

當(dāng)無法連接到可寫 DC 時，密碼過期和帳戶鎖定與其他身份驗證問題均會受到明顯影響。在恢復(fù)與可寫 DC 之間的連接之前，密碼更改請求和任何對鎖定帳戶進(jìn)行手動解鎖的嘗試都將失敗。了解這些依賴關(guān)系和操作行為的后續(xù)變化，對確保滿足您的要求和任何服務(wù)級別協(xié)議 (SLA) 極為關(guān)鍵。

在幾種一般情況下，您可以部署 RODC。在當(dāng)前不存在 DC 的位置，或者當(dāng)前承載的 DC 將被更換或升級到更新版本 Windows 的位置，RODC 十分有用。雖然針對每種情況都有特定的綜合性規(guī)劃考慮，但是我們在此重點討論非特定方法。但是，這些方法是針對 RODC 的截然不同的方法，而不是針對傳統(tǒng)可寫 DC 的。

預(yù)先規(guī)劃

在開始任何正式的 RODC 規(guī)劃之前，您應(yīng)進(jìn)行必要的盡職操作和基本的 AD DS 預(yù)先規(guī)劃。具體應(yīng)該包括一些關(guān)鍵任務(wù)，例如驗證現(xiàn)有的 AD DS 邏輯結(jié)構(gòu)，確保管理模型和 AD DS 物理結(jié)構(gòu)支持現(xiàn)有的業(yè)務(wù)和技術(shù)要求。您還必須考慮硬件要求、軟件升級策略以及適用的操作系統(tǒng)已知問題，以及評估 RODC AD DS 先決條件。這些信息對規(guī)劃和部署過程非常關(guān)鍵。您可發(fā)現(xiàn)詳細(xì)部署檢查表中對此有很好的說明。

安裝和管理

RODC 中有一種重要的可管理性功能，稱為管理員角色分離 (ARS)。此功能可向非服務(wù)管理員委托安裝和管理 RODC 服務(wù)器的能力，無需授予 Active Directory 權(quán)限。這是對與 DC 服務(wù)器設(shè)計、管理委托和部署過程相關(guān)的傳統(tǒng)注意事項的重大改變。這種角色分離對于需要在 DC 上進(jìn)行直接安裝的關(guān)鍵應(yīng)用程序或承載單一多用途服務(wù)器的位置變得越來越重要。

其他服務(wù)器角色

一般而言，您應(yīng)清除服務(wù)器中 RODC 運行不需要的所有角色。因此，您只應(yīng)向 RODC 增加的角色是 DNS 和全局編錄服務(wù)器角色。應(yīng)當(dāng)在每個 RODC 上安裝 DNS 服務(wù)器角色，以便與可寫 DC 的網(wǎng)絡(luò)連接不可用時，本地 DNS 客戶端可以執(zhí)行 DNS 解析。但是，如果未通過 Dcpromo.exe 安裝 DNS 服務(wù)器角色，必須在以后安裝它。您必須使用 Dnscmd.exe 使 RODC 參與到承載 Active Directory 集成區(qū)域的 DNS 應(yīng)用程序目錄分區(qū)中。您還應(yīng)將 RODC 配置為全局編錄服務(wù)器，使其可僅使用 RODC 執(zhí)行身份驗證和全局編錄查詢。從身份驗證角度來看，如果全局編錄角色不可選，則可以使用通用組緩存。對 RODC 成功進(jìn)行身份驗證最終可能取決于 RODC 的 PRP 配置。

#p# 

RODC 布置

由于引入了 RODC PRP，DC 布置發(fā)生了顯著改變。RODC 必須能夠從同一個域中運行 Windows Server 2008 或 Windows Server 2008 R2 的可寫 DC 復(fù)制域分區(qū)，因為只有這些 DC 可以為 RODC 執(zhí)行 PRP。為確保正確復(fù)制，對于可寫 DC 應(yīng)放置到的 AD DS 站點，該站點應(yīng)具有指向包含 RODC 的站點的最低成本站點鏈接。

如果您無法建立此配置，則 RODC 復(fù)制將需要依賴于“為所有站點鏈接搭橋”選項（即站點鏈接可傳遞性），或包含 RODC 站點和可寫 DC 站點的任何站點鏈接之間的站點鏈接橋。如果站點可傳遞性或站點鏈接橋不是可選項，則可以新建站點鏈接來直接連接 RODC 站點與可寫 DC 站點。

作為一般最佳實踐，不應(yīng)在同一 AD DS 站點中布置其他 DC 作為 RODC，因為客戶端操作可能變得不一致，使客戶端行為不可預(yù)測。身份驗證、LDAP 讀寫和密碼更改等基本操作可能都表現(xiàn)出不同的行為，具體取決于不同的 RODC 配置、可寫 DC 的 Windows 版本，以及其他可寫 DC 的網(wǎng)絡(luò)連接性是否可用。您還應(yīng)保留 RODC 站點中單個域的所有用戶和資源。RODC 不存儲信任密碼，需要跨域授權(quán)將身份驗證請求轉(zhuǎn)發(fā)到每個域中不同的可寫 DC。假設(shè)可寫 DC 位于不同站點，所有跨域身份驗證請求將依賴網(wǎng)絡(luò)連接性，在網(wǎng)絡(luò)連接發(fā)生故障的情況下將不能工作。

可伸縮性和復(fù)制

RODC 也具備可伸縮性優(yōu)點，這些優(yōu)點對于實現(xiàn)更大或更復(fù)雜的 AD DS 十分有用。例如，RODC 提供單向復(fù)制。因此，在分支機(jī)構(gòu)中部署 RODC 可降低中心站點橋頭服務(wù)器上的性能負(fù)載，這些服務(wù)器通常處理分支機(jī)構(gòu) DC 的入站復(fù)制。從總體擁有成本角度來看，這將減少您需要創(chuàng)建和管理的連接對象數(shù)量。這也會減少所需中心站點 DC 的數(shù)量。

RODC 也將改善負(fù)載平衡，有助于在中心站點橋頭服務(wù)器中均勻分配出站連接對象。對于早期版本的 Windows，這需要例行手動干預(yù)?，F(xiàn)在，當(dāng) RODC 上的知識一致性檢查器 (KCC) 檢測到中心站點中添加或刪除了橋頭服務(wù)器時，它會決定是否將復(fù)制合作伙伴切換到新的橋頭。它通過運行算法和可能性負(fù)載平衡達(dá)到此目的。如果在分支機(jī)構(gòu)中添加了 RODC，則 KCC 也將在現(xiàn)有中心站點橋頭服務(wù)器中平衡入站連接。 

憑據(jù)緩存

RODC 的 PRP 確定是否可在該特定 RODC 上緩存帳戶。默認(rèn)情況下，PRP 中的“許可”列表指定您無法緩存任何帳戶密碼。此外，它也會明確拒絕緩存某些帳戶。這種情況比手動配置的“許可”配置具有更高優(yōu)先級。如前所述，您可能需要在每個 RODC 上配置 PRP，以允許對帳戶的密碼進(jìn)行緩存。 

由于 PRP 修改對安全性和服務(wù)可用性均會產(chǎn)生影響，因此請謹(jǐn)慎執(zhí)行此步驟。例如，對于不緩存任何帳戶的默認(rèn)方案，其具備較高安全性，但如果與可寫 DC 的網(wǎng)絡(luò)連接變得不可用，則不能進(jìn)行脫機(jī)訪問。相反，當(dāng)大量帳戶可緩存時（例如域用戶組），如果 RODC 遭到破壞，安全性就會大大降低，但是可緩存帳戶具有更高級別的服務(wù)可用性。由于各種基礎(chǔ)結(jié)構(gòu)環(huán)境具有獨特的業(yè)務(wù)和技術(shù)要求，PRP 設(shè)計也會因組織而異。

一旦建立 PRP 模型，您就必須在每個 RODC 上配置 PRP，以便您可以緩存相應(yīng)帳戶。最佳實踐是以明確許可來配置 PRP，而不修改默認(rèn)拒絕列表。拒絕列表十分關(guān)鍵，因為它可禁止在 RODC 上緩存關(guān)鍵帳戶憑據(jù)（例如 AD DS 服務(wù)管理員）。 

PRP 設(shè)計的另一個關(guān)鍵方面是確定是否將使用密碼預(yù)填充可緩存帳戶。默認(rèn)情況下，只有當(dāng)身份驗證請求已轉(zhuǎn)發(fā)給 Windows Server 2008 或 Windows Server 2008 R2 可寫 DC，并且憑據(jù)已復(fù)制到 RODC 時，在初次登錄到 RODC 之后，可緩存帳戶的憑據(jù)實際上才會被緩存。這意味著在針對 RODC 驗證可緩存帳戶的身份前，如果與可寫 DC 的網(wǎng)絡(luò)連接變得不可用，即使將帳戶配置為可緩存，也將無法成功登錄。

要解決此問題，只要一配置 PRP 并且將帳戶標(biāo)記為可緩存，您就可以手動預(yù)先填充密碼緩存。此操作也需要 Windows Server 2008 或 Windows Server 2008 R2 可寫 DC 與 RODC 之間具有網(wǎng)絡(luò)連接。在部署過程中，您可以在可緩存用戶首次登錄以前提前完成此操作。

您可以使用這一基本體系架構(gòu)設(shè)計指南作為您的 RODC 規(guī)劃的基礎(chǔ)。本文通過介紹關(guān)鍵設(shè)計注意事項，為設(shè)計詳細(xì)和綜合性 RODC 解決方案提供了一個有效出發(fā)點。這不是一個簡單的過程，需要大量時間針對您組織的獨特環(huán)境和要求來協(xié)調(diào)新功能和設(shè)計注意事項。

通過對Windows Server 2008R2域控制器中的RODC的詳細(xì)介紹，希望能夠?qū)ψx者有所幫助。

【編輯推薦】

1. 域控制器在域中的作用
2. 如何進(jìn)行域控制器管理？
3. 由服務(wù)器升級為域控制器的方法
4. 硬盤安裝Windows Server 2008方法
5. Windows Server 2008中DNS的增強(qiáng)功能