Работа с контролери на домейни само за четене (RODC) (част 1)

въведение

В Windows Server 2008 Microsoft реши да върне функция, която не сме виждали от Windows NT: това е технология за контрол на домейни само за четене. В тази статия ще говоря за технологията само за четене на домейни и нейните предимства. Споменах тази технология повече от веднъж в моите статии, например в статия за използването на помощната програма adprep в Windows 2008.

Добър пример за цикличния характер на развитието на ИТ технологиите е новата функция на Windows Server 2008, наречена контролер само за четене на домейни или RODC. В крайна сметка тази технология за пръв път се появи много отдавна, но през последните 10 години практически не се използва.

Windows NT беше първата сървърна операционна система от Microsoft. Подобно на съвременните операционни системи Windows Server, Windows NT напълно поддържа технологията на домейна. Една от разликите беше фактът, че само един контролер на домейн във всеки домейн може да се записва. Този контролер на домейни, наречен първичен контролер на домейни или PDC, беше единственият контролер на домейн, в който администраторът може да извършва промени. След това основният контролер на домейни натиска актуализации към други контролери на домейна в домейна. Тези контролери на домейни се наричаха резервни контролери на домейни (BDC) и информацията за тях беше актуализирана само когато беше актуализиран основният контролер на домейни, а за домейн клиентите - само за четене.

И въпреки че този модел на домейни беше напълно работещ, той имаше и значителни недостатъци. По-специално, проблемите с основния контролер на домейни биха могли да парализират целия домейн. Както знаете, Microsoft направи значителни промени в модела на домейни, които са внедрили в новата си сървърна операционна система, Windows 2000 Server. Две нови технологии за контролери на домейни се появиха в Windows 2000 Server, и двете иновации се използват и до днес: те са Active Directory и модел с няколко основни контролера (мулти мастер модел).

И въпреки че ролята на PDC все още остава, останалата част от контролерите на домейни в мулти-мастер конфигурацията бяха записани. Това означава, че администраторът може да прави промени на всеки контролер на домейни и тези промени под формата на актуализации в крайна сметка ще бъдат разпространени към всички останали контролери на домейни в мрежата.

Тогава мулти-мастер моделът беше запазен както в Windows Server 2003, така и в Windows Server 2008. Въпреки това, в Windows Server 2008 стана възможно да се създават контролери само за четене на домейн. RODC е контролер на домейн, в който информацията не може да бъде променена директно дори от администраторите. Единственият начин да се актуализират тези контролери на домейни е да се приложат промените към PDC, след което тези промени трябва да бъдат разпространени (репликирани) към RODC. Не напомня нищо?

Както можете да видите, RODC не са нищо повече от реликва от времената на Windows NT. Разбира се, Microsoft не би върнала RODC технологията, ако не видя съществени предимства в тяхното приложение..

Преди да обясня защо Microsoft реши да се върне към RODC, нека да обясня защо използването на RODC не е задължително условие за работа с домейни на Active Directory през 2008 Server. Ако искате всеки контролер на домейн във вашата гора да може да се запише, със сигурност можете да направите това.

Искам накратко да спомена, че въпреки че RODC са много сходни с контролерите на резервните домейни (BDC) в NT, те са претърпели редица промени. Има няколко неща, които са нови за RODC технологията и искам да говоря за тях.

Така че защо Microsoft реши да върне RODC? Това се дължи на проблеми с поддръжката на клоновата мрежа (подразделения и клонове). Традиционно клоновите офиси са доста трудни за поддържане и поддържане поради отдалечеността и комуникационните им характеристики между централния офис и клона.

Традиционно бяха използвани няколко различни метода за управление на клонове, но всеки от тях имаше своите предимства и недостатъци. Един от най-разпространените начини за организиране на клонова мрежа е да се инсталират всички сървъри в централния офис и да се осигури достъп до тях на потребителите на клона чрез глобалната мрежа (WAN).

Разбира се, най-очевидният недостатък на този метод е, че ако каналът WAN е нестабилен или е отпаднал, тогава потребителите, които са в клона, не са в състояние да работят нормално, защото те са напълно отрязани от всички ресурси на централния офис. Дори ако мрежовата връзка с централния офис е стабилна, често работата на WAN връзката може да бъде ниска поради натоварването на канала или директно скоростта на връзката

Друг често срещан вариант при работа с отдалечени клонове е подходът, който включва инсталиране на поне един контролер на домейн в клона. Често този контролер на домейни действа и като DNS сървър и сървър за глобален каталог. По този начин, дори ако връзката WAN е прекъсната, тогава потребителите в клона, поне, имат възможност да влязат в мрежата. В зависимост от характера на работата на организацията, в клона могат да бъдат инсталирани други сървъри.

Въпреки че това решение по правило работи доста добре и има няколко недостатъка. Основният недостатък е цената. Хостинг сървърите в клонове изискват предприятието да инвестира в хардуерни и софтуерни лицензи за сървър. Значително увеличени разходи за поддръжка. Организацията трябва да определи дали клона се нуждае от персонал от собствени ИТ специалисти или в случай на неизправност е готова да изчака, докато ИТ персоналът от централния офис стигне до клона.

Друг нюанс при инсталирането на вашите собствени сървъри в клона е проблемът със сигурността. Според моя опит има чести случаи, при които сървърите, разположени извън централния център за данни, остават банални без надзор. Често сървърите са просто заключени в шкаф с ключ!

Както споменах по-рано, WAN връзките често са бавни и ненадеждни. Това е друг проблем с местоположението на сървърите в клона. Трафикът за репликация на домейн контролер може значително да зареди такава връзка

Точно такъв е случаят, когато можете да използвате RODC. Поставянето на RODC в клона не елиминира напълно трафика на репликация на Active Directory, но значително намалява натоварването на сървъра на мост, тъй като те получават само трафик на входяща репликация.

RODC също могат да помогнат за подобряване на сигурността, тъй като служителите в клона няма да могат да правят промени в базата данни на Active Directory. Освен това в RODC не се предава информация за всички потребители на домейни и техните акаунти. Това означава, че ако някой открадне сървъра на RODC, той няма да може да използва информацията, получена в резултат на счупване на потребителски пароли.

В следващите статии от тази поредица ще обсъдим процеса на планиране и внедряване на контролери на домейни само за четене..

Връзки към всички статии от тази поредица:

Работа с контролери на домейни само за четене (RODC) (част 1)

Работа с контролер на домейн само за четене (част 2)

Работа с контролер на домейни само за четене (част 3)