我的组织已经在多个海上平台上部署了 2008 个 RODC。我们的想法是将岸基域扩展到船上,以便更好地控制安全策略。选择 RODC 的前提是它们会消耗更少的带宽。也有安全方面的顾虑,但这些是次要的。
海上互联网连接由非常昂贵的卫星链路提供。速度从慢到没有。管理用户、计算机、组和权限更改以及 GPO 更新非常缓慢。
我开始相信,我们在 RODC 方面已经形成了狭隘的视野,拥有可写域控制器可能是更好的选择。我正在考虑每艘船配备一个 RWDC 和一个 RODC 以实现冗余。这是一个小的用户群,但拥有冗余至关重要。
还有很多内容,但我无法简洁地总结。我很好奇是否有人测试过 RODC 和 RWDC 之间的带宽消耗差异?用 RWDC 替换其中一个 RODC 是否会显著增加带宽消耗?我将重定向 RODC 以从 RWDC 进行复制。这意味着一个域控制器连接回岸上。
就目前情况而言,原本几分钟就能完成的事情可能需要几个小时才能完成。如果让船上的管理员在 RWDC 上工作,生活就会好得多。令人担心的是,RWDC 的闲聊会充斥整个管道。
那么,有人测试过差异吗?
答案1
不,我从未测试过 RODC 和 RWDC 之间的带宽消耗差异,但我还是想提供一些观察结果:
如果安全性是您考虑的“最不关心的问题”,而网络连接是最重要的,那么 RODC 实际上可能是一个非常糟糕的选择。
请记住,因为它是只读,任何需要更新目录中的数据的操作(包括帐户锁定、身份验证失败等)只有通过重新定位可写域控制器并双向消耗带宽(发起异地写入 + 在 RODC 上复制)才能成功。
每个船舶/平台最好配备 2 个 RWDC 和一个专用站点。
确保配置离岸站点和岸上中心之间的站点链接,并具有以下特征:
- 配置复制计划只允许在一天/一周/一个月内连接速度最好的时间段进行复制(拨号上网价格如果波动则较低)
- 配置复制间隔这个数字相当高,以防止站点桥头堡在其计划内每 15 分钟轮询一次
- 启用双向同步(也称为“相互复制”)双向重用相同的底层连接
- 更改GPMC 中使用的域控制器当您在本地工作时,将其设置为本地离岸站点中的一个(否则将默认为 PDC 模拟器,希望位于您的中心站点)
- 将站点内复制设置保留为默认设置(15 秒延迟更改通知),以避免在离岸站点丢失一个 DC 时发生数据丢失
答案2
对于网络不稳定的偏远地区来说,RODC 是一个糟糕的选择。
此外,不应在具有 RWDC 的站点部署 RODC。
RODC 消耗较少带宽的唯一原因是不会复制出站更改(没有出站复制伙伴)。
您无法使用 RODC 和 AD 用户和计算机或组策略管理控制台等应用程序编辑/管理对象,它们需要连接到可写域控制器。毫不奇怪,这对您来说很慢,因为您需要通过慢速 WAN 链接连接到 RWDC。