главная    •     Новости      •     софт      •     RSS-ленты     •     реклама      •     PDA-Версия      •    Контакты
Windows XP    •      Windows 7     •    Windows 8    •    Windows 9-10-11     •    Windows Server     •    Железо
Советы      •     Администрирование      •     Сеть      •     Безопасность      •     Статьи      •     Материалы
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Microsoft Edge - еще более безопасный!
  • ActiveCloud - надежный провайдер облачных услуг для вашей компании
  • ANYSERVER - ваш поставщик б/у серверов из Европы
  • Настройка контекстной рекламы в Yandex и Google: Эффективный путь к росту вашего бизнеса
  • Коммутаторы с функцией PoE: Обеспечение эффективной передачи данных и питания
  • Очередное обновление сломало выключатель компьютеров на Windows 11
  • Со времен Windows 2000 Active Directory остается стандартным средством управления процессами входа в систему, аутентификацией, DNS и другими доменными функциями в сетях Windows. Появление механизма репликации и контроллеров домена с режимом «мультимастер» стало большим шагом вперед в развитии сетевых технологий по всему миру.

    В Windows Server 2008 система Active Directory была значительно усовершенствована, и одним из ее главных преимуществ, без сомнения, стали контроллеры домена только для чтения (Read Only Domain Controllers, RODC). Суть этого нововведения в том, чтобы сделать данные Active Directory доступными для удаленных офисов, ускорив тем самым доступ к ресурсам и аутентификацию, и в то же время гарантировать максимальную защищенность сервера на случай, если в филиалах подходят к проблеме обеспечения безопасности менее основательно. Для этого большая часть данных Active Directory с контроллера домена Windows Server 2008 копируется на контроллер домена только для чтения на удаленном сервере.

    Повышенная безопасность данных учетных записей

    Данные, необходимые для аутентификации пользователей (имена и пароли к учетным записям), не дублируются на серверах RODC, что сокращает масштабы ущерба в случае взлома удаленного сервера — злоумышленники не смогут получить доступ к полной базе пользовательских объектов и паролей Active Directory. Вместо этого при аутентификации данные пользователя сначала проверяются локальным контроллером домена только для чтения, а затем, когда нужные сведения не обнаруживаются в локальной базе данных Active Directory, запрос направляется другому контроллеру домена в этой среде, чтобы обеспечить вход пользователя в систему. Полученные сведения кэшируются локально и пользователю разрешается войти. В следующий раз для аутентификации пользователя используется кэшированная копия данных, что значительно ускоряет процесс входа в систему.

    Когда данные учетной записи изменяются (например, истекает срок действия пароля), при входе пользователя в систему RODC обнаруживает, что кэшированные сведения устарели и направляет запрос другому контроллеру домена. Это помогает обезопасить максимально возможное количество пользовательских объектов в случае взлома сервера.

    Повышенная безопасность DNS

    Другое преимущество контроллеров домена только для чтения заключается в том, что хранящиеся на них копии DNS тоже доступны только для чтения. Все данные DNS из основного каталога Active Directory дублируются на RODC, но сохраненные локально копии DNS не обновляются. Регистрации добавляются и обновляются через другой контроллер домена в этой среде, а затем дублируются на RODC. Поиск и разрешение имен осуществляется при этом как обычно, поэтому наличие локальной копии DNS значительно повышает производительность системы для пользователей. Объекты, кэшированные DNS в стандартном режиме, затем реплицируются на контроллеры домена только для чтения.

    Такая конфигурация позволяет значтельно повысить безопасность и производительность Active Directory в удаленных офисах, однако может быть реализована только при соблюдении ряда условий.

    • Первый контроллер домена Windows Server 2008 в существующей среде Active Directory не может быть контроллером домена только для чтения. Репликация на RODC возможна только при наличии полнофункционального контроллера домена Windows Server 2008.
    • Перед установкой первого RODC необходимо выполнить команду adprep /rodcprep, чтобы подготовить схему к развертыванию контроллеров домена только для чтения.
    • Контроллеры доменов только для чтения не могут использоваться для размещения на них сервера глобального каталога (Global Catalog Server) и не могут выполнять роли мастеров операций (Operations Master) в среде Active Directory.

    RODC позволяют размещать контроллеры домена в удаленных офисах с меньшим количеством пользователей и невысоким уровнем физической безопасности, не снижая при этом производительности удаленных операций. При планировании развертывания Windows Server 2008 контроллеры домена только для чтения могут стать идеальным решением целого ряда проблем в рассеянной среде.

    Автор: Derek Schauland
    Перевод: SVET


    Оцените статью: Голосов

    Материалы по теме:
  • Запуск домена контроллера только для чтения Windows Server 2008
  • Перезапуск Active Directory в качестве службы в Windows Server 2008
  • Удаление контроллера домена только для чтения из домена
  • Запрет аутентификации на контроллерах домена только для чтения при отсутствии доступа к записываемым контроллерам домена
  • Как указать сервер точного времени для контроллеров домена Active Directory



  • Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет двадцать минус три?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    МАТЕРИАЛЫ    ОТ ПАРТНЁРОВ

    Copyright © 2006-2022 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+