Работа с контроллерами домена только для чтения (часть 1)

Опубликовано: 22 Марта, 2023

Введение

В Windows Server 2008 Microsoft вернула функцию, которую мы не видели со времен Windows NT; Контроллеры домена только для чтения. В этой статье я объясню, почему это так, и преимущества использования контроллеров домена только для чтения.

Я почти никогда не смотрю телевизор, но когда я сел писать эту статью, я не мог не вспомнить серию 30 Rock, которую я видел некоторое время назад. В этом эпизоде главная героиня шоу Лиз Лемон встречалась с парнем, который был единственным человеком в Нью-Йорке, который все еще продавал пейджеры. Когда Лиз сказала ему, что никто больше не использует пейджеры, потому что все пользуются сотовыми телефонами, он настаивал на том, что технология циклична и что пейджеры скоро вернутся.

Хотя это замечание было задумано как смешное, я думаю, что технология более циклична, чем думает большинство людей. Например, я не ожидаю когда-либо увидеть возвращение пейджера, но действительно ли текстовые сообщения с мобильного телефона так сильно отличаются от текстовых пейджеров, которые у всех нас были пятнадцать лет назад?

Возможно, лучшим примером циклического характера некоторых технологий является новый тип контроллера домена в Windows Server 2008, называемый контроллером домена только для чтения или RODC. Причина, по которой я говорю, что это пример циклической технологии, заключается в том, что RODC в некотором роде пережиток более чем десятилетней давности.

Windows NT была первой операционной системой Microsoft Windows Server. Как и современные операционные системы Windows Server, Windows NT полностью поддерживает использование доменов. Отличие заключалось в том, что только один контроллер домена в каждом домене был доступен для записи. Этот контроллер домена, известный как основной контроллер домена или PDC, был единственным контроллером домена, на который администратор мог записывать информацию. Затем основной контроллер домена будет распространять обновления на другие контроллеры домена в домене. Эти другие контроллеры домена были известны как резервные контроллеры домена и были доступны только для чтения в том смысле, что они могли быть обновлены только основным контроллером домена.

Хотя эта модель предметной области работала, у нее была и обратная сторона. В частности, проблема с основным контроллером домена может вывести из строя весь домен. Как вы, вероятно, знаете, Microsoft внесла некоторые существенные изменения в модель предметной области, когда выпустила Windows 2000 Server. Windows 2000 Server представила две новые технологии для контроллеров домена, обе из которых используются до сих пор; Active Directory и модель домена с несколькими главными доменами.

Хотя по-прежнему существует роль эмулятора PDC и несколько других специализированных ролей, по большей части каждый контроллер домена в модели домена с несколькими главными доменами доступен для записи. Это означает, что администратор может применить обновление к любому контроллеру домена, и в конечном итоге обновление будет распространено на все остальные контроллеры домена в домене.

Модель домена с несколькими главными доменами была сохранена в Windows Server 2003 и по-прежнему используется в Windows Server 2008. Однако Windows Server 2008 также позволяет создавать контроллеры домена только для чтения. RODC — это контроллеры домена, на которых администраторы не могут обновлять базу данных Active Directory напрямую. Единственный способ обновить эти контроллеры домена — применить изменение к доступному для записи контроллеру домена, а затем разрешить распространение изменения на контроллер домена только для чтения. Звучит знакомо?

Как видите, RODC — не что иное, как пережиток времен Windows NT. В этом случае технология действительно стала цикличной! Конечно, Microsoft не стала бы возвращать контроллеры домена только для чтения, если бы в этом не было некоторого преимущества.

Прежде чем я начну объяснять, почему Microsoft вернула контроллеры домена только для чтения, позвольте мне пояснить, что использование контроллеров домена только для чтения совершенно необязательно. Если вы хотите, чтобы каждый контроллер домена во всем лесу был доступен для записи, вы, безусловно, можете это сделать.

Еще одна вещь, о которой я хочу быстро упомянуть, заключается в том, что хотя RODC очень похожи на резервные контроллеры домена (BDC), которые использовались во времена Windows NT, они немного эволюционировали. Есть несколько уникальных особенностей контроллеров домена только для чтения, и я буду указывать на них по ходу дела.

Итак, почему Microsoft вернула контроллеры домена только для чтения? Это связано с проблемами поддержки филиалов. Филиалы традиционно было трудно поддерживать из-за их изоляции и из-за характера связи между штаб-квартирой корпорации и филиалом.

Традиционно существовало несколько различных вариантов управления филиалами, но каждый из них имеет свои преимущества и недостатки. Одним из наиболее распространенных способов взаимодействия с филиалами является размещение всех серверов в главном офисе и предоставление пользователям филиалов возможности подключения к этим серверам через глобальную сеть.

Конечно, самым очевидным недостатком использования этого метода является то, что если соединение WAN выйдет из строя, то пользователи, находящиеся в филиале, не смогут ничего сделать, потому что они полностью отрезаны от всех ресурсов сервера. Однако даже если канал WAN работает, производительность может пострадать, поскольку каналы WAN часто медленны и легко перегружаются.

Другим распространенным вариантом работы с филиалами является размещение хотя бы одного контроллера домена в филиале. Часто этот контроллер домена также выступает в роли DNS-сервера и сервера глобального каталога. Таким образом, если соединение WAN выйдет из строя, пользователи в филиале смогут, по крайней мере, войти в сеть. В зависимости от характера работы пользователя филиала в филиале могут быть и другие серверы.

Хотя это решение обычно работает довольно хорошо, его использование имеет некоторые недостатки. Основной недостаток – стоимость. Размещение серверов в филиалах требует от организации больших затрат на серверное оборудование и все необходимые лицензии на программное обеспечение. Также необходимо учитывать расходы на поддержку. Организации необходимо определить, хотят ли они нанять ИТ-персонал на полный рабочий день для поддержки филиала, или они могут справиться с количеством времени, которое требуется ИТ-персоналу для поездки из главного офиса в филиал, когда поддержка на месте невозможна. нужный.

Еще одна проблема с хранением серверов в филиале — это безопасность. По моему опыту, серверы, расположенные за пределами центра обработки данных, практически не контролируются. Зачастую они просто запираются в кладовке в филиале, и сотрудники в офисе, у которых есть ключ от чулана, должны быть уверены, что не будут связываться с серверами.

Как я упоминал ранее, WAN-соединения часто могут быть медленными и ненадежными. В этом заключается еще одна проблема с размещением серверов в филиале. Трафик репликации контроллера домена может перегружать канал WAN.

Здесь в игру вступают контроллеры домена только для чтения. RODC аналогичны любым другим контроллерам домена, за исключением того, что база данных Active Directory не доступна для записи напрямую. Размещение контроллера домена только для чтения в филиале не избавляет от трафика репликации Active Directory, но снижает нагрузку на серверы-плацдармы, поскольку разрешен только входящий трафик репликации.

RODC также могут повысить безопасность, поскольку сотрудники филиала не могут вносить какие-либо изменения в базу данных Active Directory. Кроме того, информация об учетной записи не реплицируется на контроллеры домена только для чтения. Это означает, что если кто-то украдет контроллер домена только для чтения, он не сможет использовать информацию, полученную от него, в качестве средства для взлома учетных записей пользователей. Тот факт, что информация об учетной записи пользователя не записывается на контроллеры домена только для чтения, также снижает объем трафика репликации, проходящего по каналу глобальной сети, но это означает, что за некоторыми исключениями проверка подлинности пользователя по-прежнему зависит от доступности канала глобальной сети.

Вывод

Как видите, у контроллеров домена только для чтения есть свое место. В следующей статье этой серии я начну обсуждение процесса планирования и развертывания контроллеров домена только для чтения.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023