因?yàn)?RODC 的許多新功能會(huì)影響設(shè)計(jì)和部署過(guò)程的關(guān)鍵方面,所以了解如何在您的企業(yè)中利用這些功能十分重要。在將這些功能引入到您的環(huán)境中之前,還有一些必須考慮的關(guān)鍵性設(shè)計(jì)和規(guī)劃注意事項(xiàng)。RODC 是這樣一種 DC,它承載 Active Directory 數(shù)據(jù)庫(kù)分區(qū)的完整只讀副本、SYSVOL 的只讀副本,以及對(duì)來(lái)自可寫 DC 的某些應(yīng)用程序數(shù)據(jù)的入站復(fù)制進(jìn)行限制的篩選屬性集 (FAS)。

　　默認(rèn)情況下,RODC 不會(huì)有選擇地存儲(chǔ)用戶和計(jì)算機(jī)帳戶憑據(jù),但是您可以將其配置為進(jìn)行選擇性存儲(chǔ)。這通常只會(huì)保證在遠(yuǎn)程分支機(jī)構(gòu)中或在數(shù)據(jù)中心 Intranet 中通常缺少物理安全性的外圍網(wǎng)絡(luò)中使用 RODC。RODC 還提供其他不太知名的安全功能,例如專門的 Kerberos RODC 票證授予帳戶,用于應(yīng)對(duì)與遭到破壞的 RODC 本身相關(guān)聯(lián)的基于票證的攻擊。

　　雖然關(guān)注安全性是部署 RODC 的最常見(jiàn)原因,但是 RODC 也提供了許多其他優(yōu)點(diǎn),例如企業(yè)可管理性和可伸縮性。一般而言,RODC 用于需要本地身份驗(yàn)證和授權(quán),但缺乏安全地使用可寫 DC 的物理安全性這樣的環(huán)境。因此,RODC 在數(shù)據(jù)中心外圍網(wǎng)絡(luò)或分支機(jī)構(gòu)位置中最常見(jiàn)。

　　需要 AD DS 的數(shù)據(jù)中心就是有效利用 RODC 的一個(gè)典范,但是由于安全約束而無(wú)法在外圍網(wǎng)絡(luò)中利用公司的 AD DS 林。在這種情況下,RODC 可能滿足相關(guān)的安全要求,因此改變了公司實(shí)現(xiàn) AD DS 的基礎(chǔ)結(jié)構(gòu)范圍。此類情形將可能變得更常見(jiàn)。這也反應(yīng)了外圍網(wǎng)絡(luò)的當(dāng)前最佳實(shí)踐 AD DS 模型,例如擴(kuò)展的公司林模型。

使用 RODC 建立分支機(jī)構(gòu)

　　使用 AD DS 的 RODC 的最常見(jiàn)環(huán)境仍然是分支機(jī)構(gòu)。這類環(huán)境通常是中心輻射型網(wǎng)絡(luò)拓?fù)渲械亩它c(diǎn)。它們通常分布于廣泛的地理位置中,而且數(shù)量巨大,分別承載少量用戶群,通過(guò)速度較慢且不可靠的網(wǎng)絡(luò)鏈路連接到中心站點(diǎn),并且常常缺乏經(jīng)驗(yàn)豐富的本地管理員。

　　對(duì)于已經(jīng)承載可寫 DC 的分支機(jī)構(gòu),可能不需要部署 RODC。但是在這種情況下,RODC 不但可滿足現(xiàn)有的 AD DS 相關(guān)要求,而且超出其關(guān)于提高安全性、增強(qiáng)管理、簡(jiǎn)化體系結(jié)構(gòu)和降低總體擁有成本 (TCO) 的要求。對(duì)于由于安全性或可管理性要求而禁止使用 DC 的位置,RODC 可幫助您將 DC 引入環(huán)境中,并提供大量有益的本地化服務(wù)。

　　雖然新功能和優(yōu)點(diǎn)使得評(píng)估 RODC 備受矚目,但是還有其他因素需要考慮,例如應(yīng)用程序兼容性問(wèn)題和服務(wù)影響情況。這些因素可能致使某些環(huán)境不可接受 RODC 部署。

　　例如,由于許多支持目錄的應(yīng)用程序和服務(wù)從 AD DS 讀取數(shù)據(jù),它們應(yīng)繼續(xù)運(yùn)行和使用 RODC。但是,如果某些應(yīng)用程序在所有時(shí)間都需要可寫權(quán)限,則可能無(wú)法接受 RODC。RODC 對(duì)可寫 DC 的寫操作還取決于網(wǎng)絡(luò)連接。雖然寫操作失敗可能是最常見(jiàn)的與應(yīng)用程序相關(guān)的問(wèn)題所導(dǎo)致,但是還要考慮其他問(wèn)題,例如讀取操作效率低下或失敗,寫入-讀取-返回操作失敗,以及與 RODC 本身相關(guān)聯(lián)的一般應(yīng)用程序故障。

　　除了應(yīng)用程序問(wèn)題,與可寫 DC 的連接中斷或丟失時(shí)也可能影響基本的用戶和計(jì)算機(jī)操作。例如,如果帳戶密碼不可緩存,也未在本地 RODC 上緩存,則基本身份驗(yàn)證服務(wù)可能會(huì)失敗。通過(guò) RODC 的密碼復(fù)制策略 (PRP) 使帳戶可進(jìn)行緩存,然后通過(guò)預(yù)填充來(lái)緩存密碼,您可以消除解決此問(wèn)題。執(zhí)行這些步驟也需要連接到可寫 DC。

　　當(dāng)無(wú)法連接到可寫 DC 時(shí),密碼過(guò)期和帳戶鎖定與其他身份驗(yàn)證問(wèn)題均會(huì)受到明顯影響。在恢復(fù)與可寫 DC 之間的連接之前,密碼更改請(qǐng)求和任何對(duì)鎖定帳戶進(jìn)行手動(dòng)解鎖的嘗試都將失敗。了解這些依賴關(guān)系和操作行為的后續(xù)變化,對(duì)確保滿足您的要求和任何服務(wù)級(jí)別協(xié)議 (SLA) 極為關(guān)鍵。

　　在幾種一般情況下,您可以部署 RODC。在當(dāng)前不存在 DC 的位置,或者當(dāng)前承載的 DC 將被更換或升級(jí)到更新版本 Windows 的位置,RODC 十分有用。雖然針對(duì)每種情況都有特定的綜合性規(guī)劃考慮,但是我們?cè)诖酥攸c(diǎn)討論非特定方法。但是,這些方法是針對(duì) RODC 的截然不同的方法,而不是針對(duì)傳統(tǒng)可寫 DC 的。 (服務(wù)器托管)