Práce s řadiči domény jen pro čtení (RODC) (část 1)

Úvod

V systému Windows Server 2008 se společnost Microsoft rozhodla vrátit funkci, kterou jsme od Windows NT neviděli: jedná se o technologii řadiče domény jen pro čtení. V tomto článku budu hovořit o technologii Read Only Domain Controllers a jejích výhodách. Tuto technologii jsem zmínil více než jednou ve svých článcích, například v článku o používání nástroje adprep v systému Windows 2008.

Dobrým příkladem cyklické povahy vývoje IT technologií je nová funkce systému Windows Server 2008 s názvem řadič domény jen pro čtení (RODC). Koneckonců, tato technologie se poprvé objevila už dávno, ale za posledních 10 let se prakticky nepoužívá.

Windows NT byl prvním serverovým operačním systémem od společnosti Microsoft. Stejně jako moderní operační systémy Windows Server i Windows NT plně podporovaly doménovou technologii. Jedním rozdílem byla skutečnost, že v každé doméně bylo možné zapisovat pouze jeden řadič domény. Tento řadič domény, nazývaný primární řadič domény nebo PDC, byl jediným řadičem domény, ve kterém mohl správce provádět změny. Primární řadič domény pak poslal aktualizace do dalších řadičů domény v doméně. Tyto řadiče domény se nazývaly záložní řadiče domény (BDC) a informace o nich byly aktualizovány pouze tehdy, když byl aktualizován hlavní řadič domény, pro klienty domény to byli jen pro čtení.

A ačkoli byl tento doménový model plně funkční, měl také významné nevýhody. Zejména problémy s hlavním řadičem domény mohou paralyzovat celou doménu. Jak víte, společnost Microsoft provedla významné změny v modelu domény, který implementovali do svého nového operačního systému serveru Windows 2000 Server. V systému Windows 2000 Server se objevily dvě nové technologie pro řadiče domény a obě tyto inovace se používají dodnes: jsou to Active Directory a model s několika hlavními řadiči (model více masterů).

A ačkoli role PDC stále zůstala, ostatní řadiče domény v konfiguraci s více mastery byly zapisovatelné. To znamená, že správce může provádět změny na libovolném řadiči domény a tyto změny ve formě aktualizací budou nakonec distribuovány do všech ostatních řadičů domény v síti..

Poté byl model multi-master uložen v systému Windows Server 2003 i Windows Server 2008. V systému Windows Server 2008 však bylo možné vytvořit řadiče domény jen pro čtení. RODC je řadič domény, ve kterém informace nemohou být přímo změněny ani správci. Jediným způsobem, jak aktualizovat tyto řadiče domény, je použít změny v PDC a tyto změny je nutné šířit (replikovat) na řadič domény jen pro čtení. Nic nepřipomíná?

Jak vidíte, řadiče domény jen pro čtení nejsou ničím jiným než pozůstatkem dob Windows NT. Microsoft samozřejmě nevrátí technologii RODC, pokud v jejich aplikaci nevidí významné výhody..

Než vysvětlím, proč se společnost Microsoft rozhodla vrátit se k protokolu RODC, dovolte mi vysvětlit, proč používání protokolu RODC není nezbytným předpokladem pro práci s doménami služby Active Directory na serveru 2008 Server. Pokud chcete, aby byl každý doménový řadič ve vaší doménové struktuře zapisovatelný, můžete to určitě udělat.

Chci stručně zmínit, že ačkoli jsou řadiče domény jen pro čtení velmi podobné záložním řadičům domény (BDC) v NT, prošly řadou změn. V technologii RODC je něco nového a já o nich chci mluvit.

Proč se tedy Microsoft rozhodl vrátit RODC? Je to kvůli problémům s podporou pobočkové sítě (divize a pobočky). Pobočky jsou tradičně poměrně obtížné udržovat a udržovat kvůli jejich odlehlosti a komunikačním vlastnostem mezi centrálou a pobočkou.

Tradičně se používalo několik různých metod řízení poboček, ale každá z nich měla své výhody a nevýhody. Jedním z nejčastějších způsobů organizace pobočkové sítě je instalace všech serverů v centrále a poskytnutí přístupu k nim uživatelům pobočky prostřednictvím globální sítě (WAN)..

Nejzjevnější nevýhodou této metody je samozřejmě to, že pokud je kanál WAN nestabilní nebo spadl, pak uživatelé, kteří jsou ve větvi, nemohou normálně pracovat, protože jsou zcela odříznuti od všech zdrojů ústřední kanceláře. I když je síťové připojení k centrále stabilní, výkon připojení WAN může být často nízký kvůli zatížení kanálu nebo přímo rychlosti připojení

Další běžnou možností při práci se vzdálenými větvemi je přístup, který zahrnuje instalaci alespoň jednoho řadiče domény do větve. Tento řadič domény také často funguje jako server DNS a server globálního katalogu. Tedy, i když je připojení WAN odpojeno, pak mají uživatelé ve větvi alespoň příležitost vstoupit do sítě. V závislosti na povaze práce organizace mohou být na pobočce nainstalovány další servery.

Přestože toto řešení zpravidla funguje velmi dobře, má několik nevýhod. Hlavní nevýhodou jsou náklady. Hosting serverů v pobočkách vyžaduje, aby podnik investoval do licencí hardwaru a softwaru serveru. Výrazně zvýšené náklady na podporu. Organizace musí určit, zda pobočka potřebuje zaměstnance vlastních IT specialistů, nebo v případě závady, je připravena čekat, až se IT pobočka z ústředny dostane do pobočky.

Další nuansou při instalaci vlastních serverů ve větvi je problém se zabezpečením. Podle mých zkušeností jsou časté případy, kdy servery umístěné mimo centrální datové centrum zůstaly bez dozoru. Servery jsou často jednoduše zamčeny v kabinetu pomocí klíče!

Jak jsem již zmínil, připojení WAN jsou často pomalá a nespolehlivá. To je další problém s umístěním serverů ve větvi. Provoz replikace řadiče domény může takové připojení výrazně načíst

To je přesně ten případ, kdy můžete použít RODC. Umístění RODC do větve zcela nevylučuje replikační provoz služby Active Directory, ale významně snižuje zatížení serveru předmostí, protože přijímají pouze příchozí replikační provoz.

RODC mohou také pomoci zlepšit zabezpečení, protože zaměstnanci v pobočce nebudou moci provádět změny v databázi Active Directory. Kromě toho do RODC nejsou přenášeny žádné informace o všech uživatelích domény a jejich účtech. To znamená, že pokud někdo ukradne server RODC, nebude moci použít informace získané v důsledku porušení uživatelských hesel.

V budoucích článcích této série budeme diskutovat o procesu plánování a nasazení řadičů domény jen pro čtení..

Odkazy na všechny články v této sérii:

Práce s řadiči domény jen pro čtení (RODC) (část 1)

Práce s řadičem domény jen pro čtení (část 2)

Práce s řadičem domény jen pro čtení (část 3)