自动更新Windows Server 2008 R2 域控制器: 仔细规划 RODC

　　摘要：在缺乏物理安全性时，提高对数据安全性的关注就变得很重要。WindowsServer2008和R2提供了一些新方法来实现这一点，这些方法似乎就是专门为物理安全性不严格的远程办公室这样的环境量身定制的。只读域控制器(RODC)是WindowsServer系统中ActiveDirectory域服务(ADDS)的一项新功能。

在缺乏物理安全性时，提高对数据安全性的关注就变得很重要。WindowsServer2008和R2提供了一些新方法来实现这一点，这些方法似乎就是专门为物理安全性不严格的远程办公室这样的环境量身定制的。只读域控制器(RODC)是WindowsServer系统中ActiveDirectory域服务(ADDS)的一项新功能。只读域控制器体现了对通常使用域控制器(DC)的方式的根本改变。

因为RODC的许多新功能会影响设计和部署过程的关键方面，所以了解如何在您的企业中利用这些功能十分重要。在将这些功能引入到您的环境中之前，还有一些必须考虑的关键性设计和规划注意事项。RODC是这样一种DC，它承载ActiveDirectory数据库分区的完整只读副本、SYSVOL的只读副本，以及对来自可写DC的某些应用程序数据的入站复制进行限制的筛选属性集(FAS)。

默认情况下，RODC不会有选择地存储用户和计算机帐户凭据，但是您可以将其配置为进行选择性存储。这通常只会保证在远程分支机构中或在数据中心Intranet中通常缺少物理安全性的外围网络中使用RODC。RODC还提供其他不太知名的安全功能，例如专门的KerberosRODC票证授予帐户，用于应对与遭到破坏的RODC本身相关联的基于票证的攻击。

虽然关注安全性是部署RODC的最常见原因，但是RODC也提供了许多其他优点，例如企业可管理性和可伸缩性。一般而言，RODC用于需要本地身份验证和授权，但缺乏安全地使用可写DC的物理安全性这样的环境。因此，RODC在数据中心外围网络或分支机构位置中最常见。

需要ADDS的数据中心就是有效利用RODC的一个典范，但是由于安全约束而无法在外围网络中利用的ADDS林。在这种情况下，RODC可能满足相关的安全要求，因此改变了实现ADDS的基础结构范围。此类情形将可能变得更常见。这也反应了外围网络的当前最佳实践ADDS模型，例如扩展的林模型。

站群管理系统使用ADDS的RODC的最常见环境仍然是分支机构。这类环境通常是中心辐射型网络拓扑中的端点。它们通常分布于广泛的地理位置中，而且数量巨大，分别承载少量用户群，通过速度较慢且不可靠的网络链路连接到中心站点，并且常常缺乏经验丰富的本地管理员。

对于已经承载可写DC的分支机构，可能不需要部署RODC。但是在这种情况下，RODC不但可满足现有的ADDS相关要求，而且超出其关于提高安全性、增强管理、简化体系结构和降低总体拥有成本(TCO)的要求。对于由于安全性或可管理性要求而禁止使用DC的位置，RODC可帮助您将DC引入环境中，站群管理系统并提供大量有益的本地化服务。

虽然新功能和优点使得评估RODC备受瞩目，但是还有其他因素需要考虑，例如应用程序兼容性问题和服务影响情况。这些因素可能致使某些环境不可接受RODC部署。

例如，由于许多支持目录的应用程序和服务从ADDS读取数据，它们应继续运行和使用RODC。但是，如果某些应用程序在所有时间都需要可写权限，则可能无法接受RODC。RODC对可写DC的写操作还取决于网络连接。虽然写操作失败可能是最常见的与应用程序相关的问题所导致，但是还要考虑其他问题，例如读取操作效率低下或失败，写入-读取-返回操作失败，以及与RODC本身相关联的一般应用程序故障。

除了应用程序问题，与可写DC的连接中断或丢失时也可能影响基本的用户和计算机操作。例如，如果帐户密码不可缓存，也未在本地RODC上缓存，则基本身份验证服务可能会失败。通过RODC的密码复制策略(PRP)使帐户可进行缓存，然后通过预填充来缓存密码，您可以消除解决此问题。执行这些步骤也需要连接到可写DC。

当无法连接到可写DC时，密码过期和帐户锁定与其他身份验证问题均会受到明显影响。在恢复与可写DC之间的连接之前，密码更改请求和任何对锁定帐户进行手动解锁的尝试都将失败。了解这些依赖关系和操作行为的后续变化，对确保满足您的要求和任何服务级别协议(SLA)极为关键。

在几种一般情况下，您可以部署RODC。在当前不存在DC的位置，或者当前承载的DC将被更换或升级到更新版本Windows的位置，RODC十分有用。虽然针对每种情况都有特定的综合性规划考虑，但是我们在此重点讨论非特定方法。但是，这些方法是针对RODC的截然不同的方法，而不是针对传统可写DC的。

在开始任何正式的RODC规划之前，您应进行必要的尽职操作和基本的ADDS预先规划。具体应该包括一些关键任务，例如验证现有的ADDS逻辑结构，确保管理模型和ADDS物理结构支持现有的业务和技术要求。您还必须考虑硬件要求、软件升级策略以及适用的操作系统已知问题，以及评估RODCADDS先决条件。这些信息对规划和部署过程非常关键。您可发现详细部署检查表中对此有很好的说明。

RODC中有一种重要的可管理性功能，称为管理员角色分离(ARS)。此功能可向非服务管理员委托安装和管理RODC服务器的能力自动采集的网站，无需授予ActiveDirectory权限。这是对与DC服务器设计、管理委托和部署过程相关的传统注意事项的重大改变。这种角色分离对于需要在DC上进行直接安装的关键应用程序或承载单一多用途服务器的位置变得越来越重要。

一般而言，您应清除服务器中RODC运行不需要的所有角色。因此，您只应向RODC增加的角色是DNS和全局编录服务器角色。应当在每个RODC上安装DNS服务器角色，以便与可写DC的网络连接不可用时，本地DNS客户端可以执行DNS解析。但是，如果未通过Dcpromo.exe安装DNS服务器角色，必须在以后安装它。您必须使用Dnscmd.exe使RODC参与到承载ActiveDirectory集成区域的DNS应用程序目录分区中。您还应将RODC配置为全局编录服务器，使其可仅使用RODC执行身份验证和全局编录查询。从身份验证角度来看，如果全局编录角色不可选，则可以使用通用组缓存。对RODC成功进行身份验证最终可能取决于RODC的PRP配置。

如果您无法建立此配置，则RODC复制将需要依赖于“为所有站点链接搭桥”选项（即站点链接可传递性），或包含RODC站点和可写DC站点的任何站点链接之间的站点链接桥。如果站点可传递性或站点链接桥不是可选项，则可以新建站点链接来直接连接RODC站点与可写DC站点。

作为一般最佳实践，不应在同一ADDS站点中布置其他DC作为RODC，因为客户端操作可能变得不一致，使客户端行为不可预测。身份验证、LDAP读写和密码更改等基本操作可能都表现出不同的行为，具体取决于不同的RODC配置、可写DC的Windows版本，以及其他可写DC的网络连接性是否可用。您还应保留RODC站点中单个域的所有用户和资源。RODC不存储信任密码，需要跨域授权将身份验证请求转发到每个域中不同的可写DC。假设可写DC位于不同站点，所有跨域身份验证请求将依赖网络连接性，在网络连接发生故障的情况下将不能工作。

RODC也具备可伸缩性优点，这些优点对于实现更大或更复杂的ADDS十分有用。例如，RODC提供单向复制。因此，在分支机构中部署RODC可降低中心站点桥头服务器上的性能负载，这些服务器通常处理分支机构DC的入站复制。从总体拥有成本角度来看，这将减少您需要创建和管理的连接对象数量。这也会减少所需中心站点DC的数量。

RODC也将改善负载平衡，有助于在中心站点桥头服务器中均匀分配出站连接对象。对于早期版本的Windows，这需要例行手动干预。现在，当RODC上的知识一致性检查器(KCC)检测到中心站点中添加或删除了桥头服务器时，动易站群它会决定是否将复制合作伙伴切换到新的桥头。它通过运行算法和可能性负载平衡达到此目的。如果在分支机构中添加了RODC，则KCC也将在现有中心站点桥头服务器中平衡入站连接。

RODC的PRP确定是否可在该特定RODC上缓存帐户。默认情况下，PRP中的“许可”列表指定您无法缓存任何帐户密码。此外，它也会明确拒绝缓存某些帐户。这种情况比手动配置的“许可”配置具有更高优先级。如前所述，您可能需要在每个RODC上配置PRP，以允许对帐户的密码进行缓存。

由于PRP修改对安全性和服务可用性均会产生影响，因此请谨慎执行此步骤。例如，对于不缓存任何帐户的默认方案，其具备较高安全性，但如果与可写DC的网络连接变得不可用，则不能进行脱机访问。相反，当大量帐户可缓存时（例如域用户组），如果RODC遭到破坏，安全性就会大大降低，但是可缓存帐户具有更高级别的服务可用性。由于各种基础结构环境具有独特的业务和技术要求，PRP设计也会因组织而异。

一旦建立PRP模型，您就必须在每个RODC上配置PRP，以便您可以缓存相应帐户。最佳实践是以明确许可来配置PRP，而不修改默认拒绝列表。拒绝列表十分关键，因为它可禁止在RODC上缓存关键帐户凭据（例如ADDS服务管理员）。

PRP设计的另一个关键方面是确定是否将使用密码预填充可缓存帐户。默认情况下，只有当身份验证请求已转发给WindowsServer2008或WindowsServer2008R2可写DC，并且凭据已复制到RODC时，在初次登录到RODC之后，可缓存帐户的凭据实际上才会被缓存。这意味着在针对RODC验证可缓存帐户的身份前，如果与可写DC的网络连接变得不可用，即使将帐户配置为可缓存，也将无法成功登录。

要解决此问题，只要一配置PRP并且将帐户标记为可缓存，您就可以手动预先填充密码缓存。此操作也需要WindowsServer2008或WindowsServer2008R2可写DC与RODC之间具有网络连接。在部署过程中，您可以在可缓存用户首次登录以前提前完成此操作。

您可以使用这一基本体系架构设计指南作为您的RODC规划的基础。本文通过介绍关键设计注意事项，为设计详细和综合性RODC解决方案提供了一个有效出发点。这不是一个芭奇的过程，需要大量时间针对您组织的独特环境和要求来协调新功能和设计注意自动更新Windows Server 2008 R2 域控制器: 仔细规划 RODC事项。

来源：微软TechNet中文站