главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Настольные Windows-программы будут работать на смартфонах
  • Windows 10 Insider Preview: вышла сборка 14986
  • Windows 10 Creators Update сделают безопаснее для организаций
  • В Windows 10 будет поддержка шрифта Брайля
  • Со времен Windows 2000 Active Directory остается стандартным средством управления процессами входа в систему, аутентификацией, DNS и другими доменными функциями в сетях Windows. Появление механизма репликации и контроллеров домена с режимом «мультимастер» стало большим шагом вперед в развитии сетевых технологий по всему миру.

    В Windows Server 2008 система Active Directory была значительно усовершенствована, и одним из ее главных преимуществ, без сомнения, стали контроллеры домена только для чтения (Read Only Domain Controllers, RODC). Суть этого нововведения в том, чтобы сделать данные Active Directory доступными для удаленных офисов, ускорив тем самым доступ к ресурсам и аутентификацию, и в то же время гарантировать максимальную защищенность сервера на случай, если в филиалах подходят к проблеме обеспечения безопасности менее основательно. Для этого большая часть данных Active Directory с контроллера домена Windows Server 2008 копируется на контроллер домена только для чтения на удаленном сервере.

    Повышенная безопасность данных учетных записей

    Данные, необходимые для аутентификации пользователей (имена и пароли к учетным записям), не дублируются на серверах RODC, что сокращает масштабы ущерба в случае взлома удаленного сервера — злоумышленники не смогут получить доступ к полной базе пользовательских объектов и паролей Active Directory. Вместо этого при аутентификации данные пользователя сначала проверяются локальным контроллером домена только для чтения, а затем, когда нужные сведения не обнаруживаются в локальной базе данных Active Directory, запрос направляется другому контроллеру домена в этой среде, чтобы обеспечить вход пользователя в систему. Полученные сведения кэшируются локально и пользователю разрешается войти. В следующий раз для аутентификации пользователя используется кэшированная копия данных, что значительно ускоряет процесс входа в систему.

    Когда данные учетной записи изменяются (например, истекает срок действия пароля), при входе пользователя в систему RODC обнаруживает, что кэшированные сведения устарели и направляет запрос другому контроллеру домена. Это помогает обезопасить максимально возможное количество пользовательских объектов в случае взлома сервера.

    Повышенная безопасность DNS

    Другое преимущество контроллеров домена только для чтения заключается в том, что хранящиеся на них копии DNS тоже доступны только для чтения. Все данные DNS из основного каталога Active Directory дублируются на RODC, но сохраненные локально копии DNS не обновляются. Регистрации добавляются и обновляются через другой контроллер домена в этой среде, а затем дублируются на RODC. Поиск и разрешение имен осуществляется при этом как обычно, поэтому наличие локальной копии DNS значительно повышает производительность системы для пользователей. Объекты, кэшированные DNS в стандартном режиме, затем реплицируются на контроллеры домена только для чтения.

    Такая конфигурация позволяет значтельно повысить безопасность и производительность Active Directory в удаленных офисах, однако может быть реализована только при соблюдении ряда условий.

    • Первый контроллер домена Windows Server 2008 в существующей среде Active Directory не может быть контроллером домена только для чтения. Репликация на RODC возможна только при наличии полнофункционального контроллера домена Windows Server 2008.
    • Перед установкой первого RODC необходимо выполнить команду adprep /rodcprep, чтобы подготовить схему к развертыванию контроллеров домена только для чтения.
    • Контроллеры доменов только для чтения не могут использоваться для размещения на них сервера глобального каталога (Global Catalog Server) и не могут выполнять роли мастеров операций (Operations Master) в среде Active Directory.

    RODC позволяют размещать контроллеры домена в удаленных офисах с меньшим количеством пользователей и невысоким уровнем физической безопасности, не снижая при этом производительности удаленных операций. При планировании развертывания Windows Server 2008 контроллеры домена только для чтения могут стать идеальным решением целого ряда проблем в рассеянной среде.

    Автор: Derek Schauland
    Перевод: SVET


    Оцените статью:
    Голосов 1

    Материалы по теме:
  • Удаление контроллера домена только для чтения из домена
  • Запрет аутентификации на контроллерах домена только для чтения при отсутствии доступа к записываемым контроллерам домена
  • Репликация паролей для контроллеров доменов только для чтения в Windows Server 2008
  • Перезапуск Active Directory в качестве службы в Windows Server 2008
  • Запуск домена контроллера только для чтения Windows Server 2008


    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет восемь минус четыре?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+