Windows Server 2008 wprowadził kontrolery domeny tylko do odczytu, które otrzymują pełną replikę bazy danych domeny, ale nie mogą jej modyfikować, podobnie jak stary dobry BDC systemu Windows NT.
Znam wszystkie techniczne rozwiązania tego, jak prowadzić te pół-DC (właśnie zdałem 70-646 i 70-647), ale wciąż nie mam jasnej odpowiedzi na najważniejsze ze wszystkich pytań: dlaczego miałbyś użyć ich ?
Ten komentarz TheCleaner naprawdę podsumowuje:
@Massimo - tak, masz rację. Szukacie ważnego powodu dla RODC i nie ma takiego. Ma kilka dodatkowych funkcji bezpieczeństwa, które pomagają zmniejszyć bezpieczeństwo w oddziale firmy. Naprawdę trzeba go tam wdrożyć tylko wtedy, gdy nie masz jeszcze kontrolera domeny i jesteś analitykiem na temat jego bezpieczeństwa.
Tak samo myślałem ... mały wzrost bezpieczeństwa, tak, jasne, ale zdecydowanie nie tyle warty wysiłku.
Mam cały rozdział na temat tej funkcji w mojej książce (www.briandesmond.com/ad4/). Krótko mówiąc, jest to funkcja bezpieczeństwa, a dla rozproszonych organizacji to ogromna sprawa.
Istnieją tutaj dwa naprawdę duże scenariusze:
-> RODC domyślnie nie przechowują haseł. Oznacza to, że jeśli ktoś fizycznie pobierze dyski z serwera, nie otrzyma wszystkich haseł użytkownika (i komputera).
Prawidłowa odpowiedź, jeśli ktoś ukradnie RWDC, polega na zresetowaniu WSZYSTKICH haseł w domenie, ponieważ można uznać, że wszystkie zostały naruszone. To duże przedsięwzięcie.
Za pomocą kontrolera RODC możesz powiedzieć tylko buforowanie haseł dla podzbioru X użytkowników i komputerów. Gdy RODC faktycznie buforuje hasło, przechowuje te informacje w AD. Jeśli RODC zostanie skradziony, masz teraz małą listę haseł, które należy zresetować.
-> RODC replikują się w jedną stronę. Gdyby ktoś ukradł ci RWDC, dokonał pewnych zmian i włączył z powrotem, zmiany te powielą się z powrotem w środowisku. Na przykład mogą dodać się do grupy administratorów domeny lub zresetować wszystkie hasła administratora lub coś w tym rodzaju. Z RODC jest to po prostu niemożliwe.
Nie ma poprawy prędkości, chyba że umieścisz kontroler RODC w miejscu, w którym wcześniej nie było DC, a w niektórych scenariuszach prawdopodobnie nastąpi poprawa prędkości.
Odpowiedź Oczyszczacza jest naprawdę niepoprawna. Istnieje wiele atrakcyjnych scenariuszy dla kontrolerów RODC i mogę sobie wyobrazić kilka ich wdrożeń na dużą skalę. To proste rzeczy związane z bezpieczeństwem, a nie „anal o bezpieczeństwie”.
Dzięki,
Brian Desmond
MVP usługi Active Directory
źródło
Potrzebujesz kontrolerów RODC, jeśli masz wiele oddziałów o słabym bezpieczeństwie fizycznym i / lub powolnej lub zawodnej łączności z siecią. Przykłady:
Większość organizacji ma fizyczne standardy bezpieczeństwa dla urządzeń zdalnych. Jeśli nie możesz spełnić tych wymagań, kontrolery RODC umożliwiają szybkie uwierzytelnianie w celu uzyskania dostępu do lokalnych aplikacji i udziałów plików. Pozwalają również ograniczyć liczbę poświadczeń przechowywanych na serwerze. Zaatakowany serwer naraża tylko użytkowników w zdalnej lokalizacji. Pełna kontroler domeny z 75 000 użytkowników ujawnia wszystkich tych użytkowników w przypadku lokalnego kompromisu.
Jeśli pracujesz w mniejszej firmie, to nic wielkiego. Mam ochotę wdrożyć je za pomocą funkcji BitLocker, ponieważ RODC znacznie zmniejsza ryzyko bezpieczeństwa.
źródło
Będziemy używać kontrolera RODC w strefie DMZ na podstawie tego artykułu TechNet . Utworzenie nowego lasu dla usług sieciowych z RODC w DMZ.
źródło
Przede wszystkim dla bezpieczeństwa, ale także dla szybkości.
Zobacz krótki opis tutaj
źródło
Kontroler RODC zawiera kopię reklamy tylko do odczytu i używasz jej w oddziale, w którym nie ma personelu IT, a zatem nie może zagwarantować bezpieczeństwa ani integralności serwerowni. W przypadku naruszenia RODC masz pewność, że ktokolwiek naruszy ten kod, będzie miał dostęp do AD tylko w stanie, w jakim znajdował się w momencie odkrycia. Żadne wprowadzone zmiany nie zostaną zreplikowane z powrotem na główne kontrolery domeny. Oznacza to, że ktokolwiek pójdzie na kompromis, nie może robić paskudnych rzeczy, takich jak awansowanie do administratora domeny, blokowanie własnych administratorów i niegodziwy sposób w całej sieci.
źródło
Kontrolery RODC są przydatne dla dużych organizacji korporacyjnych, konkurencyjne usługi katalogowe dla przedsiębiorstw, takie jak Novell eDirectory, od lat mają repliki tylko do odczytu.
źródło
Kolejną zaletą kontrolerów RODC jest to, że pozwalają one mieć działające kontrolery domeny podczas odzyskiwania po awarii, co wiąże się z usunięciem wszystkich normalnych kontrolerów domeny w celu odbudowania active directory. W takich sytuacjach nie musisz wyłączać kontrolerów RODC.
źródło