Windows Server 2008は読み取り専用ドメインコントローラーを導入しました。これは、ドメインデータベースの完全なレプリカを受け取りますが、古き良きWindows NT BDCのように変更することはできません。
私はそれらのセミDCを実行する方法の技術的な詳細をすべて知っています(70-646と70-647をパスしたばかりです)。それでも、すべての最も重要な質問に対する明確な答えはありません。なぜあなたはそれらを使うべきですか?
TheCleanerからのこのコメントは本当に私にとってそれを要約します:
@マッシモ-はい、あなたは正しいです。 UはRODCの説得力のある理由を探していますが、その理由はありません。ブランチオフィスのセキュリティを軽減するための追加のセキュリティ機能がいくつかあり、DCがまだなく、そのセキュリティに関心がある場合にのみ、実際にデプロイする必要があります。
それは私が考えていたのと同じでした...セキュリティの少しの向上、はい、確かに、確かに面倒の価値があるほど多くはありません。
現実のシナリオを紹介します。
ここではIT部門がなく、米国ではADアカウントなどのすべてのリクエストを処理するため、これを使用します。そこでRODCを使用することで、次のことがわかります。
AD/DNSを読み取り専用にすることで、DCのデータを操作する試みについて心配する必要がなくなります。
これは、ここにある機能が原因です: http://technet.Microsoft.com/en-us/library/cc732801%28WS.10%29.aspx
RODCの役割がインストールされたサーバーコアに過ぎないため、サーバーのインストールを最小限に抑えることができました。 2台のRaid-1 18GBドライブを搭載した古い1Uサーバーに搭載しました。私たちは実際にそれらの2つを配置しました...ラックにあった保証されていない古いハードウェアを使用して、まったく同じ構成です。
シンプルで、必要なことを行います。心配する必要はありません。ボックスの1つが故障した場合は、もう一度交換するだけです。
私の本(www.briandesmond.com/ad4/)には、この機能に関する章全体が記載されています。その長所と短所は、これはセキュリティ機能であり、分散型組織にとっては大きな問題です。
ここには2つの本当に大きなシナリオがあります。
-> RODCはデフォルトでパスワードを保存しません。つまり、誰かが物理的にサーバーからディスクを取得した場合、ユーザー(およびコンピューター)のすべてのパスワードを取得するわけではありません。
誰かがRWDCを盗んだ場合の正しい対応は、ドメイン内のすべてのパスワードをリセットすることです。これは、すべてのパスワードが危険にさらされていると考えることができるためです。これは大きな仕事です。
RODCを使用すると、ユーザーとコンピューターのサブセットXのパスワードのみをキャッシュすることができます。 RODCが実際にパスワードをキャッシュすると、その情報がADに格納されます。 RODCが盗まれた場合、リセットする必要のあるパスワードのリストがいくつかあります。
-> RODCは一方向に複製します。誰かがRWDCを盗み、変更を加え、再度プラグインした場合、それらの変更は環境に複製されます。たとえば、ドメイン管理者グループに自分自身を追加したり、すべての管理者パスワードをリセットしたりできます。 RODCでは、これはまったく不可能です。
以前にDCがなかった場所にRODCを配置しない限り、速度の向上はありません。その後、一部のシナリオでは速度が向上する可能性があります。
TheCleanerの応答は本当に正しくありません。 RODCには説得力のあるシナリオがALOTあり、それらの展開のいくつかを手作業で考えることができます。これは単純なセキュリティに関するものであり、「セキュリティに関する肛門」のものではありません。
おかげで、
ブライアン・デスモンド
Active Directory MVP
物理的なセキュリティが不十分で、ネットワーク接続が遅いか信頼性が低いブランチオフィスが多数ある場合は、RODCが必要です。例:
ほとんどの組織には、リモート機器に関する物理的なセキュリティ標準があります。これらの要件を満たせない場合、RODCを使用すると、ローカルアプリケーションやファイル共有へのアクセスに高速認証を提供できます。また、サーバーに保存される資格情報の数を制限することもできます。侵害されたサーバーは、リモートロケーションのユーザーのみを侵害します。 75,000ユーザーの完全なDCは、ローカルの侵害が発生した場合にそれらのユーザーすべてを公開します。
あなたが小さな会社で働いているなら、それはまったく大したことではありません。 RODCはセキュリティリスクを大幅に軽減するので、BitLockerを使用してそれらを展開するようにしています。
DMZこの記事に基づいて TechNet の記事でRODCを使用します。DMZでRODCを使用してWebサービス用の新しいフォレストを設定します。
RODCは大企業の組織に役立ちます。NovelleDirectoryなどの競合するエンタープライズディレクトリサービスには、長年にわたって読み取り専用のレプリカがありました。
主にセキュリティのためだけでなく、速度も向上させます。
短い記事をご覧ください ここ
RODCにはADの読み取り専用コピーが含まれていて、ITスタッフがいないブランチオフィスでADを使用しているため、サーバールームのセキュリティや整合性を保証できません。 RODCが危険にさらされている場合、危険にさらされた人はだれでも、発見時の状態のADにしかアクセスできないという知識があるため、安全です。加えられた変更はメインDCに複製されません。つまり、妥協する人はだれでも、ドメイン管理者に昇格したり、自分の管理者をロックアウトしたり、ネットワーク全体で邪悪な方法を使用したりすることはできません。
RODCのもう1つの利点は、通常のドメインコントローラーをすべて停止してActive Directoryを再構築することを含む、障害回復を実行しながら、ドメインコントローラーを機能させることができることです。このような状況では、RODCをオフにする必要はありません。