Delo z regulatorji domen samo za branje (RODC) (1. del)

Uvod

V operacijskem sistemu Windows Server 2008 se je Microsoft odločil, da vrne funkcijo, ki je nismo videli od sistema Windows NT: gre za tehnologijo krmilnika domene samo za branje. V tem članku bom govoril o tehnologiji samo za branje regulatorjev domene in njenih prednostih. To tehnologijo sem že večkrat omenil v svojih člankih, na primer v članku o uporabi pripomočka adprep v sistemu Windows 2008.

Dober primer ciklične narave razvoja IT tehnologije je nova funkcija Windows Server 2008, imenovana samo za branje kontroler domene ali RODC. Navsezadnje se je ta tehnologija prvič pojavila že dolgo nazaj, vendar se v zadnjih 10 letih praktično ni uporabljala.

Windows NT je bil prvi strežnik pri Microsoftu. Tako kot sodobni operacijski sistemi Windows Server tudi Windows NT v celoti podpira domensko tehnologijo. Ena od razlik je bila v tem, da je v vsaki domeni zapisal samo en krmilnik domen. Ta krmilnik domene, imenovan primarni krmilnik domene ali PDC, je bil edini upravljavec domene, v katerem je lahko skrbnik izvajal spremembe. Glavni krmilnik domene je nato potisnil posodobitve do drugih krmilnikov domene v domeni. Ti nadzorniki domen so bili imenovani rezervni krmilniki domen (BDC), informacije o njih pa so bile posodobljene šele, ko je bil osvežen glavni krmilnik domen, za domenske odjemalce pa samo za branje.

In čeprav je bil ta domenski model popolnoma delujoč, je imel tudi pomembne pomanjkljivosti. Zlasti težave z glavnim krmilnikom domen bi lahko ohromile celotno domeno. Kot veste, je Microsoft bistveno spremenil domenski model, ki so ga uvedli v svojem novem strežniškem operacijskem sistemu Windows 2000 Server. V operacijskem sistemu Windows 2000 Server sta se pojavili dve novi tehnologiji za krmilnike domen, obe novi inovaciji pa se uporabljata še danes: Active Directory in model z več glavnimi krmilniki (multi master model).

In čeprav je vloga PDC še vedno ostala, so ostali krmilniki domen v konfiguraciji več nadzorov pisali. To pomeni, da lahko skrbnik spremeni spremembe na katerem koli upravljavcu domen, te spremembe v obliki posodobitev pa bodo sčasoma razdeljene vsem ostalim regulatorjem domen v omrežju.

Nato je bil multi-master model shranjen v Windows Server 2003 in Windows Server 2008. Toda v Windows Server 2008 je bilo mogoče ustvariti samo bralne krmilnike domen. RODC je krmilnik domene, v katerem podatkov ne morejo neposredno spremeniti niti skrbniki. Edini način za posodobitev teh krmilnikov domen je uporaba sprememb na PDC, nato pa jih je treba razširiti (ponoviti) na RODC. Spominja nič?

Kot vidite, RODC-ji niso nič drugega kot relikvija časov Windows NT. Seveda Microsoft ne bi vrnil tehnologije RODC, če v njihovi uporabi ne bi videl pomembnih prednosti..

Preden razložim, zakaj se je Microsoft odločil, da se vrne na RODC, naj vam razložim, zakaj uporaba RODC ni pogoj za delo z domenami Active Directory v strežniku 2008. Če želite, da je vsak krmilnik domen v vašem gozdu pisal, lahko to zagotovo storite.

Na kratko želim omeniti, da so bili RODC-ji zelo podobni nadomestnim krmilnikom domen (BDC) v NT, vendar so doživeli številne spremembe. V tehnologiji RODC je nekaj novih stvari in o njih bi rad govoril.

Zakaj se je torej Microsoft odločil vrniti RODC? To je posledica težav pri podružnični mreži (oddelki in podružnice). Podružnice so tradicionalno precej težko vzdrževati in vzdrževati zaradi oddaljenosti in komunikacijskih funkcij med sedežem in podružnico.

Tradicionalno je bilo uporabljenih več različnih metod vodenja podružnic, vendar je imela vsaka svoje prednosti in slabosti. Eden najpogostejših načinov organizacije podružničnega omrežja je namestitev vseh strežnikov v sedežu in dostop do njih uporabnikom podružnice prek globalnega omrežja (WAN).

Seveda je najbolj očitna pomanjkljivost te metode ta, da če je kanal WAN nestabilen ali odpade, potem uporabniki, ki so v panogi, ne morejo normalno delati, ker so popolnoma odrezani od vseh virov osrednjega urada. Tudi če je omrežna povezava s sedežem stabilna, je pogosto delovanje WAN povezave lahko nizko zaradi obremenitve kanala ali neposredno hitrosti povezave

Druga pogosta možnost pri delu z oddaljenimi vejami je pristop, ki vključuje namestitev vsaj enega krmilnika domene v veji. Pogosto ta krmilnik domene deluje tudi kot DNS strežnik in globalni strežnik katalogov. Tako tudi, če je povezava WAN prekinjena, imajo uporabniki v podružnici vsaj možnost vstopa v omrežje. V podružnici je mogoče namestiti tudi druge strežnike, odvisno od narave dela organizacije.

Čeprav ta rešitev praviloma deluje precej dobro in ima več pomanjkljivosti. Glavna pomanjkljivost so stroški. Gostovanje strežnikov v podružnicah zahteva, da podjetje vlaga v strežniške strojne in programske licence. Znatno povečani stroški podpore. Organizacija mora ugotoviti, ali podružnica potrebuje osebje svojih IT strokovnjakov ali v primeru okvar je pripravljena počakati, dokler IT-osebje iz centralne pisarne pride v podružnico.

Še en odtenek pri nameščanju lastnih strežnikov v podružnici je varnostna težava. Po mojih izkušnjah so pogosti primeri, ko strežniki, ki se nahajajo zunaj osrednjega podatkovnega centra, ostanejo brez nadzora. Pogosto so strežniki preprosto zaklenjeni v omari s ključem!

Kot sem že omenil, so povezave WAN pogosto počasne in nezanesljive. To je še ena težava z lokacijo strežnikov v podružnici. Promet podvajanja domenskega regulatorja lahko znatno naloži takšno povezavo

Prav to je primer, ko lahko uporabite RODC. Če postavite RODC v vejo, ne odpravite v celoti prometa podvajanja Active Directory, ampak znatno zmanjša obremenitev strežnika Bridgehead, saj prejemajo samo vhodni promet podvajanja.

RODC lahko tudi pomagajo izboljšati varnost, saj osebje v podružnici ne bo moglo spremeniti baze podatkov Active Directory. Poleg tega se na RODC ne posredujejo nobeni podatki o vseh uporabnikih domene in njihovih računih. To pomeni, da če je nekdo ukradel strežnik RODC, ne bo mogel uporabljati informacij, pridobljenih kot rezultat zloma uporabniških gesel.

V prihodnjih člankih v tej seriji bomo razpravljali o postopku načrtovanja in uvajanja krmilnikov domen samo za branje..

Povezave do vseh člankov v tej seriji:

Delo z regulatorji domen samo za branje (RODC) (1. del)

Delo z regulatorjem domene samo za branje (2. del)

Delo z regulatorjem domene samo za branje (3. del)