IT2web

Системному администратору Windows Server

Главная --> Active Directory --> RODC - контроллер "только для чтения" - Кэширование учетных данных

RODC - контроллер "только для чтения" - Кэширование учетных данных

Article Index
RODC - контроллер "только для чтения"
Расширение филиалов с помощью RODC
Предварительное планирование
Установка и управление
Дополнительные полномочия сервера
Размещение RODC
Масштабируемость и репликация
Кэширование учетных данных
All Pages

Кэширование учетных данных

PRP RODC определяет, являются ли учетные записи кэшируемыми на определенном RODC. По умолчанию в разрешенном списке PRP указано, что кэшировать пароли учетных записей нельзя. Кроме того, он явно запрещает кэширование определенных учетных записей. Это превалирует над настройками разрешения, установленными вручную. Как уже было сказано выше, может потребоваться настроить PRP на каждом RODC, чтобы пароли учетных записей были кэшируемыми.

Серьезно рассмотрите этот шаг, поскольку изменения PRP могут повлиять как на безопасность, так и на доступность служб. Например, результатом отсутствия кэшированных учетных записей может стать высокая безопасность, но любой автономный доступ в случае сетевого подключения к полноценному контроллеру домена становится доступным. И наоборот – при большом процентном соотношении кэшируемых учетных записей (например, группа пользователей домена) безопасность становится гораздо ниже, но при этом уровень доступности службы для кэшируемых учетных записей – гораздо выше. Разработки PRP будут различаться в организациях по причине индивидуальных бизнес-требований и технических требований.

После создания модели PRP придется настроить PRP на каждом RODC, чтобы выполнять кэширование нужных учетных записей.  Рекомендуется настроить PRP с явными разрешениями и не изменять список запретов по умолчанию. Список запретов является критически важным, посколько предотвращает кэширование критически важных учетных данных (таких как данные администраторов службы AD DS) на RODC.

Еще один ключевой аспект разработки PRP – определение того, будут ли кэшируемые учетные записи распространяться заранее с паролями. По умолчанию учетные данные кэшируемых учетных записей не кэшируются до изначального входа в RODC, когда запрос на проверку подлинности передается на полноценный контроллер домена Windows Server 2008 или Windows Server 2008 R2 и клиенты реплицируются в RODC. Это значит, что при отсутствии сетевого подключения к полноценному контроллеру домена до того, как кэшируемые учетные записи пройдут проверку подлинности в RODC, произойдет сбой входа в систему, даже несмотря на том, что учетные записи настроены как кэшируемые.

Для решения этой проблемы можно вручную предварительно распространить кэш пароля сразу после настройки PRP и маркировки учетных записей как кжшируемых.  Для выполнения этой операции также требуется сетевое подключение между полноценным контроллером домена Windows Server 2008 или Windows Server 2008 R2 и RODC. Можно выполнить эти действия заранее, во время развертывания, задолго до того, как кэшируемые пользователи впервые войдут в систему.

Вы можете пользоваться этим фундаментальным руководством по разработке архитектуры в планировании RODC. Рассмотрев ключевые соображения разработки, эта статья содержит эффективное руководство по началу разработки подробного и полного решения RODC. Это процесс непрост; он требует значительного времени на рассмотрение новых функций и соображений разработки в соответствии со спецификой среды и с требованиями организации.



COMMENTS_LIST_HEADER  

 
#1 anatoly DATE_FORMAT_LC1
Установил RODC в 2008r2. Конечно, все немного не так устанавливается , как описано. Лучше вначале читать оригинальную Доку от MS. Ставил несколько раз, поскольку на главном DNS не оказалось записи SRC :(
BUTTON_QUOTE
 
 
#2 Vladimir DATE_FORMAT_LC1
COMMENT_TEXT_QUOTE_EXTENDED
Установил RODC в 2008r2. Конечно, все немного не так устанавливается, как описано. Лучше вначале читать оригинальную Доку от MS. Ставил несколько раз, поскольку на главном DNS не оказалось записи SRC :(

А как вы лечили этот глюк?? (у меня такая же проблема... :((
BUTTON_QUOTE