因?yàn)?RODC 的許多新功能會(huì)影響設(shè)計(jì)和部署過程的關(guān)鍵方面,所以了解如何在您的企業(yè)中利用這些功能十分重要。在將這些功能引入到您的環(huán)境中之前,還有一些必須考慮的關(guān)鍵性設(shè)計(jì)和規(guī)劃注意事項(xiàng)。RODC 是這樣一種 DC,它承載 Active Directory 數(shù)據(jù)庫(kù)分區(qū)的完整只讀副本、SYSVOL 的只讀副本,以及對(duì)來自可寫 DC 的某些應(yīng)用程序數(shù)據(jù)的入站復(fù)制進(jìn)行限制的篩選屬性集 (FAS)。

　　默認(rèn)情況下,RODC 不會(huì)有選擇地存儲(chǔ)用戶和計(jì)算機(jī)帳戶憑據(jù),但是您可以將其配置為進(jìn)行選擇性存儲(chǔ)。這通常只會(huì)保證在遠(yuǎn)程分支機(jī)構(gòu)中或在數(shù)據(jù)中心 Intranet 中通常缺少物理安全性的外圍網(wǎng)絡(luò)中使用 RODC。RODC 還提供其他不太知名的安全功能,例如專門的 Kerberos RODC 票證授予帳戶,用于應(yīng)對(duì)與遭到破壞的 RODC 本身相關(guān)聯(lián)的基于票證的攻擊。

　　雖然關(guān)注安全性是部署 RODC 的最常見原因,但是 RODC 也提供了許多其他優(yōu)點(diǎn),例如企業(yè)可管理性和可伸縮性。一般而言,RODC 用于需要本地身份驗(yàn)證和授權(quán),但缺乏安全地使用可寫 DC 的物理安全性這樣的環(huán)境。因此,RODC 在數(shù)據(jù)中心外圍網(wǎng)絡(luò)或分支機(jī)構(gòu)位置中最常見。

　　需要 AD DS 的數(shù)據(jù)中心就是有效利用 RODC 的一個(gè)典范,但是由于安全約束而無法在外圍網(wǎng)絡(luò)中利用公司的 AD DS 林。在這種情況下,RODC 可能滿足相關(guān)的安全要求,因此改變了公司實(shí)現(xiàn) AD DS 的基礎(chǔ)結(jié)構(gòu)范圍。此類情形將可能變得更常見。這也反應(yīng)了外圍網(wǎng)絡(luò)的當(dāng)前最佳實(shí)踐 AD DS 模型,例如擴(kuò)展的公司林模型。

使用 RODC 建立分支機(jī)構(gòu)

　　使用 AD DS 的 RODC 的最常見環(huán)境仍然是分支機(jī)構(gòu)。這類環(huán)境通常是中心輻射型網(wǎng)絡(luò)拓?fù)渲械亩它c(diǎn)。它們通常分布于廣泛的地理位置中,而且數(shù)量巨大,分別承載少量用戶群,通過速度較慢且不可靠的網(wǎng)絡(luò)鏈路連接到中心站點(diǎn),并且常常缺乏經(jīng)驗(yàn)豐富的本地管理員。

　　對(duì)于已經(jīng)承載可寫 DC 的分支機(jī)構(gòu),可能不需要部署 RODC。但是在這種情況下,RODC 不但可滿足現(xiàn)有的 AD DS 相關(guān)要求,而且超出其關(guān)于提高安全性、增強(qiáng)管理、簡(jiǎn)化體系結(jié)構(gòu)和降低總體擁有成本 (TCO) 的要求。對(duì)于由于安全性或可管理性要求而禁止使用 DC 的位置,RODC 可幫助您將 DC 引入環(huán)境中,并提供大量有益的本地化服務(wù)。

　　雖然新功能和優(yōu)點(diǎn)使得評(píng)估 RODC 備受矚目,但是還有其他因素需要考慮,例如應(yīng)用程序兼容性問題和服務(wù)影響情況。這些因素可能致使某些環(huán)境不可接受 RODC 部署。

　　例如,由于許多支持目錄的應(yīng)用程序和服務(wù)從 AD DS 讀取數(shù)據(jù),它們應(yīng)繼續(xù)運(yùn)行和使用 RODC。但是,如果某些應(yīng)用程序在所有時(shí)間都需要可寫權(quán)限,則可能無法接受 RODC。RODC 對(duì)可寫 DC 的寫操作還取決于網(wǎng)絡(luò)連接。雖然寫操作失敗可能是最常見的與應(yīng)用程序相關(guān)的問題所導(dǎo)致,但是還要考慮其他問題,例如讀取操作效率低下或失敗,寫入-讀取-返回操作失敗,以及與 RODC 本身相關(guān)聯(lián)的一般應(yīng)用程序故障。

　　除了應(yīng)用程序問題,與可寫 DC 的連接中斷或丟失時(shí)也可能影響基本的用戶和計(jì)算機(jī)操作。例如,如果帳戶密碼不可緩存,也未在本地 RODC 上緩存,則基本身份驗(yàn)證服務(wù)可能會(huì)失敗。通過 RODC 的密碼復(fù)制策略 (PRP) 使帳戶可進(jìn)行緩存,然后通過預(yù)填充來緩存密碼,您可以消除解決此問題。執(zhí)行這些步驟也需要連接到可寫 DC。

　　當(dāng)無法連接到可寫 DC 時(shí),密碼過期和帳戶鎖定與其他身份驗(yàn)證問題均會(huì)受到明顯影響。在恢復(fù)與可寫 DC 之間的連接之前,密碼更改請(qǐng)求和任何對(duì)鎖定帳戶進(jìn)行手動(dòng)解鎖的嘗試都將失敗。了解這些依賴關(guān)系和操作行為的后續(xù)變化,對(duì)確保滿足您的要求和任何服務(wù)級(jí)別協(xié)議 (SLA) 極為關(guān)鍵。

　　在幾種一般情況下,您可以部署 RODC。在當(dāng)前不存在 DC 的位置,或者當(dāng)前承載的 DC 將被更換或升級(jí)到更新版本 Windows 的位置,RODC 十分有用。雖然針對(duì)每種情況都有特定的綜合性規(guī)劃考慮,但是我們?cè)诖酥攸c(diǎn)討論非特定方法。但是,這些方法是針對(duì) RODC 的截然不同的方法,而不是針對(duì)傳統(tǒng)可寫 DC 的。 (服務(wù)器托管)