从Windows 2000操作系统开始,活动目录就已经成为Windows操作系统网络管理中的标准,包括登陆过程、验证、域名系统以及其他域功能在内的所有网络活动都受到其控制。而多主域控制器和复制的出现,则让全球网络管理一体化的目标更近了一大步。
在Windows Server 2008操作系统中,活动目录功能得到了改善,而只读域控制器就属于这些改善中的一项。这项功能可以在保证服务器和远程终端安全不受到影响的情况下,为远程办公的活动目录信息进行更快的验证,帮助它们提高获取资源的速度。它是通过为远程终端上的Windows Server 2008域控制器提供包含了大部分活动目录信息的只读副本实现这样的效果的,
登录时安全性获得了改善
包括账户名和密码在内的用户身份验证信息,不能被复制到只读域控制器服务器上。这样在服务器受到侵害的时间造成的损失就可以受到控制,不至于影响到整个活动目录数据库里用户名和密码的使用。当用户要求进行身份验证的时间,将会在本地的只读域控制器里进行信息查询,而不是复制授权证书。如果在活动目录数据库的本地副本中找不到信息的话,将会把请求提交给网络中的另一个域控制器确认用户的权限。一旦用户获得了身份验证,就可以把信息保存在本地。当用户再次登陆的时间,就可以使用授权证书的缓存副本,从而提高登录的速度。
当授权证书发生了变化—举例来说,当用户密码已经过期了—只读域控制器将对登录进行分析,密码不能匹配缓存中的密码,这时请求会转交到另一个域控制器。这样的话,在用户密码丢失这种情况出现时,服务器本身受到的损害将会降低。
域名系统也变得更安全
对于只读域控制器来说,另一个优点就是复制的域名系统也属于只读的。活动目录中的所有域名系统信息都会复制到只读域控制器上,但复制的域名系统不会更新,注册或者更新必须在另外的域控制器上进行。这些更新,再复制到只读域控制器上。查询和命名解决方案的运行和通常情况下是一样的,只要在本地运行域名系统的副本就可以改善用户的体验。域名系统的缓存信息也将复制到只读域控制器上。
这样的配置可以提高网络的整体性能并改善使用活动目录的远程办公终端性能;但在这样配置的时间,也有一些方面需要注意:
· Windows Server 2008操作系统中的第一个域控制器在现有活动目录环境不能成为只读域控制器。在Windows Server 2008操作系统中,必须首先安装全功能的域控制器,以便对只读域控制器进行复制操作。
· 在安装第一个只读域控制器前,必须运行活动目录准备工具adprep和rodcprep以保证只读域控制器的安装获得了许可。
· 在任何情况下,只读域控制器都不能成为全局编录服务器,也不能在目录环境下担任可以进行主机操作的角色。
我在本文中介绍只读域控制器的主要原因,是希望提供一种方法,在存在远程办公终端的域控制器环境中,在保证安全性的前提下,提高远程办公的效率。随着Windows Server 2008操作系统发布日期的日益临近,对于分散的网络环境来说,只读域控制器将可以提供非常大的帮助。
