После завершения подготовки контроллера домена необходимо принять ряд дополнительных мер, чтобы обеспечить корректную обработку входов в систему для отдельных учетных записей компьютеров.
При использовании стандартных настроек контроллера домена только для чтения на первых порах все работает нормально. Проблемы возникают, как только записываемые контроллеры домена оказываются недоступны. Хотя контроллеры домена только для чтения не предполагают записи данных, они все равно должны обрабатывать запросы на вход в систему при отсутствии доступа к записываемому контроллеру домена. При использовании настроек по умолчанию в таком случае возникает сообщение об ошибке, показанное на рис. B.
Рисунок B
При этом в журнале событий Windows появляются предупреждения о том, что учетная запись компьютера отсутствует в кэше и может быть недействительна. Чтобы решить эту проблему, необходимо создать группу безопасности, объединяющую в стандартной группе репликации паролей контроллера домена «Разрешенные» (Allowed RODC Password Replication Group) все учетные записи компьютеров, которые проходят аутентификацию на контроллере домена только для чтения. На рис. C показано добавление учетной записи компьютера в группу безопасности, принадлежащую к группе «Разрешенные», для домена RWVDEV.INTRA.
Рисунок C
Группе «Разрешенные» дается право на репликацию паролей учетных записей компьютеров на контроллере домена только для чтения. Кроме того, этот способ позволяет разрешить аутентификацию на контроллере домена только для чтения лишь определенным компьютерам. Каждой учетной записи компьютера в Active Directory соответствует определенный пароль, а за управление такими учетными записями отвечает система, как и в случае с управляемыми учетными записями служб.
Чтобы пользователь имел возможность пройти аутентификацию на контроллере домена только для чтения, его учетная запись, как и учетная запись компьютера, тоже должна входить в группу «Разрешенные». И точно так же это позволяет разрешить аутентификацию на контроллере домена только для чтения лишь определенным пользователям.
Обратите внимание:учетная запись администратора по умолчанию не входит в группу «Разрешенные». Разумнее всего добавлять в эту группу только тех пользователей, которым вероятнее всего придется проходить аутентификацию на контроллере домена только для чтения.
Массу полезной информации по репликации паролей можно найти на сайте TechNet.
А вы пробовали использовать контроллеры домена только для чтения при отсутствии доступа к записываемым контроллерам домена? С какими сложностями вам при этом пришлось столкнуться? Поделитесь своим опытом в комментариях!
