Сегодня мы посмотрим на новую, сильно восхваляемую возможность в Windows Server 2008, называемую  контроллер домена на чтение, RODC (Read Only Domain Controller). Давайте посмотри, какие возможности дает нам данная технология.

Windows Server 2008 имеет достаточно много новых возможностей, которые делают его приятным для всех. Одна из этих возможностей - RODC.

Если вы планировали развертывание домена Active Directory, которая требует сложной и многочисленной структуры контроллеров домена, вам вероятнее всего знакомо понятие multimaster replication. Это означает, что любые изменения, сделанные на любом контроллере домена, реплицируются на другие контроллеры по сети. Хотя это делает администрирование более эффективным, однако безопасность оказывается под угрозой. В этой модели нарушителю нужен доступ только к одному контроллеру домена для повреждения вашей сети. В распределенной среде, места в удаленных помещениях, где расположены ваши доменные контроллеры, будут точкой атаки.

Контроллер домена на чтение снижает этот риск, так как он позволяет проводить репликацию только в одну сторону. Информация реплицируется на RODC, но не обратно. Односторонняя репликация означает, что злоумышленник не сможет изменить информация в Active Directory с удаленного офиса и скомпроментировать другие сервера в сети.

Вы можете сконфигурировать RODC в вашей сети просто запустив DCPROMO и выбрать опцию RODC.

• Оригинал лежит тут

Автор: Chris Sanders