Windows Server 2008 引入了只读域控制器,它接收域数据库的完整副本但不能修改它,就像旧的 Windows NT BDC 一样。
我知道如何运行这些半 DC 的所有技术细节(我刚刚通过了 70-646 和 70-647),但对于最重要的问题,我仍然没有明确的答案:为什么要使用它们?
来自 TheCleaner 的这条评论确实为我总结了这一点:
@Massimo - 是的,你说得对。你正在寻找一个令人信服的理由来使用 RODC,但事实并非如此。它有一些额外的安全功能,可以帮助缓解分支机构的安全问题,而且实际上只有在你还没有 DC 并且对其安全性非常挑剔的情况下才需要在那里部署。
我也是这么想的...安全性确实提高了一点,但绝对不值得这么麻烦。
答案1
我给你一个真实世界的场景:
- 我们在中国的分公司有一个
我们使用它是因为那里没有 IT 部门,我们在美国处理所有 AD 帐户等请求。通过在那里拥有 RODC,我们知道:
- 没有人可以登录并尝试“攻击” AD。
- 没有人可以窃取它并获得任何有价值的东西,然后回来“入侵”网络。
通过使 AD/DNS 只读,我们不必担心尝试操纵那里的 DC 上的数据。
这是因为在这里发现了以下特征: http://technet.microsoft.com/en-us/library/cc732801%28WS.10%29.aspx
对于我们来说,这比其他任何事情都更能让我们“安心”……此外,由于它只是安装了 RODC 角色的服务器核心,因此可以实现极简的服务器安装。我们将其放在一台较旧的 1U 服务器上,该服务器配有 2 个 Raid-1 18GB 驱动器。我们实际上在其中安装了 2 个驱动器……使用机架中较旧的无保修硬件,配置完全相同。
简单,能完成需要完成的工作,我们无需担心。如果其中一个盒子出现故障,我们只需将其更换即可。
答案2
我的书 (www.briandesmond.com/ad4/) 中有一整章专门讨论此功能。总而言之,这是一个安全功能,对于分布式组织来说,这是一件大事。
这里有两个非常重要的情况:
--> RODC 默认不存储密码。这意味着如果有人从服务器上物理获取磁盘,他们不会获取所有用户(和计算机)密码。
如果有人窃取了 RWDC,正确的应对措施是重置域中的所有密码,因为您可以认为它们都已被泄露。这是一项重大任务。
使用 RODC,您可以说只缓存用户和计算机子集 X 的密码。当 RODC 实际缓存密码时,它会将这些信息存储在 AD 中。如果 RODC 被盗,您现在会得到一小串需要重置的密码。
--> RODC 是单向复制的。如果有人窃取了你的 RWDC,对其进行了一些更改,然后将其重新插入,这些更改将复制回环境中。例如,他们可能会将自己添加到域管理员组或重置所有管理员密码等。使用 RODC 根本不可能做到这一点。
除非您将 RODC 放置在以前没有 DC 的位置,否则不会提高速度,并且在某些情况下速度可能会有所提高。
TheCleaner 的回复确实不正确。RODC 有很多引人注目的场景,我可以随口想到几种大规模部署。这是简单的安全问题,而不是“对安全问题过于挑剔”的问题。
谢谢,
布莱恩·戴斯蒙德
活动目录最有价值专家
答案3
如果您拥有许多分支机构,且这些分支机构的物理安全性较差和/或网络连接速度较慢或不可靠,则需要 RODC。示例:
- 拥有中央办公室和店面诊所的医疗服务提供商,这些诊所经常移动并使用 DSL/Cable 进行连接
- 一家在偏远地区设有设施的公司,在这些地区电信基础设施不可靠,或者您被迫使用蜂窝或卫星网络。
大多数组织都对远程设备制定了物理安全标准。如果您无法满足这些要求,RODC 可让您为访问本地应用程序和文件共享提供高速身份验证。它们还允许您限制服务器上存储的凭据数量。受感染的服务器只会危害远程位置的用户。如果发生本地入侵,拥有 75,000 名用户的完整 DC 将暴露所有这些用户。
如果你在一家小公司工作,这根本不是什么大问题。我很乐意使用 BitLocker,因为 RODC 可以大大降低安全风险。
答案4
主要是为了安全,但也是为了速度。
参见简短文章这里