在缺乏物理安全性时,提高对数据安全性的关注就变得很重要。Windows Server 2008 和 R2 提供了一些新方法来实现这一点,这些方法似乎就是专门为物理安全性不严格的远程办公室这样的环境量身定制的。只读域控制器 (RODC) 是 Windows Server 系统中 Active Directory 域服务 (AD DS) 的一项新功能。只读域控制器体现了对通常使用域控制器 (DC) 的方式的根本改变。
因为 RODC 的许多新功能会影响设计和部署过程的关键方面,所以了解如何在您的企业中利用这些功能十分重要。在将这些功能引入到您的环境中之前,还有一些必须考虑的关键性设计和规划注意事项。RODC 是这样一种 DC,它承载 Active Directory 数据库分区的完整只读副本、SYSVOL 的只读副本,以及对来自可写 DC 的某些应用程序数据的入站复制进行限制的筛选属性集 (FAS)。
默认情况下,RODC 不会有选择地存储用户和计算机帐户凭据,但是您可以将其配置为进行选择性存储。这通常只会保证在远程分支机构中或在数据中心 Intranet 中通常缺少物理安全性的外围网络中使用 RODC。RODC 还提供其他不太知名的安全功能,例如专门的 Kerberos RODC 票证授予帐户,用于应对与遭到破坏的 RODC 本身相关联的基于票证的攻击。
虽然关注安全性是部署 RODC 的最常见原因,但是 RODC 也提供了许多其他优点,例如企业可管理性和可伸缩性。一般而言,RODC 用于需要本地身份验证和授权,但缺乏安全地使用可写 DC 的物理安全性这样的环境。因此,RODC 在数据中心外围网络或分支机构位置中最常见。
需要 AD DS 的数据中心就是有效利用 RODC 的一个典范,但是由于安全约束而无法在外围网络中利用公司的 AD DS 林。在这种情况下,RODC 可能满足相关的安全要求,因此改变了公司实现 AD DS 的基础结构范围。此类情形将可能变得更常见。这也反应了外围网络的当前最佳实践 AD DS 模型,例如扩展的公司林模型。
使用 RODC 建立分支机构
使用 AD DS 的 RODC 的最常见环境仍然是分支机构。这类环境通常是中心辐射型网络拓扑中的端点。它们通常分布于广泛的地理位置中,而且数量巨大,分别承载少量用户群,通过速度较慢且不可靠的网络链路连接到中心站点,并且常常缺乏经验丰富的本地管理员。
对于已经承载可写 DC 的分支机构,可能不需要部署 RODC。但是在这种情况下,RODC 不但可满足现有的 AD DS 相关要求,而且超出其关于提高安全性、增强管理、简化体系结构和降低总体拥有成本 (TCO) 的要求。对于由于安全性或可管理性要求而禁止使用 DC 的位置,RODC 可帮助您将 DC 引入环境中,并提供大量有益的本地化服务。
虽然新功能和优点使得评估 RODC 备受瞩目,但是还有其他因素需要考虑,例如应用程序兼容性问题和服务影响情况。这些因素可能致使某些环境不可接受 RODC 部署。
例如,由于许多支持目录的应用程序和服务从 AD DS 读取数据,它们应继续运行和使用 RODC。但是,如果某些应用程序在所有时间都需要可写权限,则可能无法接受 RODC。RODC 对可写 DC 的写操作还取决于网络连接。虽然写操作失败可能是最常见的与应用程序相关的问题所导致,但是还要考虑其他问题,例如读取操作效率低下或失败,写入-读取-返回操作失败,以及与 RODC 本身相关联的一般应用程序故障。
除了应用程序问题,与可写 DC 的连接中断或丢失时也可能影响基本的用户和计算机操作。例如,如果帐户密码不可缓存,也未在本地 RODC 上缓存,则基本身份验证服务可能会失败。通过 RODC 的密码复制策略 (PRP) 使帐户可进行缓存,然后通过预填充来缓存密码,您可以消除解决此问题。执行这些步骤也需要连接到可写 DC。
当无法连接到可写 DC 时,密码过期和帐户锁定与其他身份验证问题均会受到明显影响。在恢复与可写 DC 之间的连接之前,密码更改请求和任何对锁定帐户进行手动解锁的尝试都将失败。了解这些依赖关系和操作行为的后续变化,对确保满足您的要求和任何服务级别协议 (SLA) 极为关键。
在几种一般情况下,您可以部署 RODC。在当前不存在 DC 的位置,或者当前承载的 DC 将被更换或升级到更新版本 Windows 的位置,RODC 十分有用。虽然针对每种情况都有特定的综合性规划考虑,但是我们在此重点讨论非特定方法。但是,这些方法是针对 RODC 的截然不同的方法,而不是针对传统可写 DC 的。
预先规划
在开始任何正式的 RODC 规划之前,您应进行必要的尽职操作和基本的 AD DS 预先规划。具体应该包括一些关键任务,例如验证现有的 AD DS 逻辑结构,确保管理模型和 AD DS 物理结构支持现有的业务和技术要求。您还必须考虑硬件要求、软件升级策略以及适用的操作系统已知问题,以及评估 RODC AD DS 先决条件。这些信息对规划和部署过程非常关键。您可发现详细部署检查表中对此有很好的说明。
安装和管理
RODC 中有一种重要的可管理性功能,称为管理员角色分离 (ARS)。此功能可向非服务管理员委托安装和管理 RODC 服务器的能力,无需授予 Active Directory 权限。这是对与 DC 服务器设计、管理委托和部署过程相关的传统注意事项的重大改变。这种角色分离对于需要在 DC 上进行直接安装的关键应用程序或承载单一多用途服务器的位置变得越来越重要。
其他服务器角色
一般而言,您应清除服务器中 RODC 运行不需要的所有角色。因此,您只应向 RODC 增加的角色是 DNS 和全局编录服务器角色。应当在每个 RODC 上安装 DNS 服务器角色,以便与可写 DC 的网络连接不可用时,本地 DNS 客户端可以执行 DNS 解析。但是,如果未通过 Dcpromo.exe 安装 DNS 服务器角色,必须在以后安装它。您必须使用 Dnscmd.exe 使 RODC 参与到承载 Active Directory 集成区域的 DNS 应用程序目录分区中。您还应将 RODC 配置为全局编录服务器,使其可仅使用 RODC 执行身份验证和全局编录查询。从身份验证角度来看,如果全局编录角色不可选,则可以使用通用组缓存。对 RODC 成功进行身份验证最终可能取决于 RODC 的 PRP 配置。
RODC 布置
由于引入了 RODC PRP,DC 布置发生了显著改变。RODC 必须能够从同一个域中运行 Windows Server 2008 或 Windows Server 2008 R2 的可写 DC 复制域分区,因为只有这些 DC 可以为 RODC 执行 PRP。为确保正确复制,对于可写 DC 应放置到的 AD DS 站点,该站点应具有指向包含 RODC 的站点的最低成本站点链接。
如果您无法建立此配置,则 RODC 复制将需要依赖于“为所有站点链接搭桥”选项(即站点链接可传递性),或包含 RODC 站点和可写 DC 站点的任何站点链接之间的站点链接桥。如果站点可传递性或站点链接桥不是可选项,则可以新建站点链接来直接连接 RODC 站点与可写 DC 站点。
作为一般最佳实践,不应在同一 AD DS 站点中布置其他 DC 作为 RODC,因为客户端操作可能变得不一致,使客户端行为不可预测。身份验证、LDAP 读写和密码更改等基本操作可能都表现出不同的行为,具体取决于不同的 RODC 配置、可写 DC 的 Windows 版本,以及其他可写 DC 的网络连接性是否可用。您还应保留 RODC 站点中单个域的所有用户和资源。RODC 不存储信任密码,需要跨域授权将身份验证请求转发到每个域中不同的可写 DC。假设可写 DC 位于不同站点,所有跨域身份验证请求将依赖网络连接性,在网络连接发生故障的情况下将不能工作。
可伸缩性和复制
RODC 也具备可伸缩性优点,这些优点对于实现更大或更复杂的 AD DS 十分有用。例如,RODC 提供单向复制。因此,在分支机构中部署 RODC 可降低中心站点桥头服务器上的性能负载,这些服务器通常处理分支机构 DC 的入站复制。从总体拥有成本角度来看,这将减少您需要创建和管理的连接对象数量。这也会减少所需中心站点 DC 的数量。
RODC 也将改善负载平衡,有助于在中心站点桥头服务器中均匀分配出站连接对象。对于早期版本的 Windows,这需要例行手动干预。现在,当 RODC 上的知识一致性检查器 (KCC) 检测到中心站点中添加或删除了桥头服务器时,它会决定是否将复制合作伙伴切换到新的桥头。它通过运行算法和可能性负载平衡达到此目的。如果在分支机构中添加了 RODC,则 KCC 也将在现有中心站点桥头服务器中平衡入站连接。
凭据缓存
RODC 的 PRP 确定是否可在该特定 RODC 上缓存帐户。默认情况下,PRP 中的“许可”列表指定您无法缓存任何帐户密码。此外,它也会明确拒绝缓存某些帐户。这种情况比手动配置的“许可”配置具有更高优先级。如前所述,您可能需要在每个 RODC 上配置 PRP,以允许对帐户的密码进行缓存。
由于 PRP 修改对安全性和服务可用性均会产生影响,因此请谨慎执行此步骤。例如,对于不缓存任何帐户的默认方案,其具备较高安全性,但如果与可写 DC 的网络连接变得不可用,则不能进行脱机访问。相反,当大量帐户可缓存时(例如域用户组),如果 RODC 遭到破坏,安全性就会大大降低,但是可缓存帐户具有更高级别的服务可用性。由于各种基础结构环境具有独特的业务和技术要求,PRP 设计也会因组织而异。
一旦建立 PRP 模型,您就必须在每个 RODC 上配置 PRP,以便您可以缓存相应帐户。最佳实践是以明确许可来配置 PRP,而不修改默认拒绝列表。拒绝列表十分关键,因为它可禁止在 RODC 上缓存关键帐户凭据(例如 AD DS 服务管理员)。
PRP 设计的另一个关键方面是确定是否将使用密码预填充可缓存帐户。默认情况下,只有当身份验证请求已转发给 Windows Server 2008 或 Windows Server 2008 R2 可写 DC,并且凭据已复制到 RODC 时,在初次登录到 RODC 之后,可缓存帐户的凭据实际上才会被缓存。这意味着在针对 RODC 验证可缓存帐户的身份前,如果与可写 DC 的网络连接变得不可用,即使将帐户配置为可缓存,也将无法成功登录。
要解决此问题,只要一配置 PRP 并且将帐户标记为可缓存,您就可以手动预先填充密码缓存。此操作也需要 Windows Server 2008 或 Windows Server 2008 R2 可写 DC 与 RODC 之间具有网络连接。在部署过程中,您可以在可缓存用户首次登录以前提前完成此操作。
您可以使用这一基本体系架构设计指南作为您的 RODC 规划的基础。本文通过介绍关键设计注意事项,为设计详细和综合性 RODC 解决方案提供了一个有效出发点。这不是一个简单的过程,需要大量时间针对您组织的独特环境和要求来协调新功能和设计注意事项。
原文:http://technet.microsoft.com/zh-cn/magazine/ff679947.aspx
来源:微软TechNet中文站