Sunday, July 4, 2010

What Is an Read-Only Domain Controller (RODC)?

แนะนำ Read-Only Domain Controller หรือ RODC
บทความโดย: Windows Administrator Blog

Read-Only Domain Controller (RODC) เป็นโดเมนคอนโทรลเลอร์เสริม (additional domain controller) สำหรับโดเมนซึ่งเก็บพาร์ติชันแบบอ่านอย่างเดียว (Read-only partitions) ของฐานข้อมูลของ Active Directory โดยวัตถุประสงค์หลักของการถูกออกแบบ RODC เพื่อใช้งานในสภาพแวดล้อมของสำนักงานสาขาซึ่งโดยทั่วไปจะมีผู้ใช้ไม่กี่คน มีระบบความปลอดภัยทางด้านต่ำ มีแบนด์วิดท์เชื่อมต่อไปยังฮับไซต์ต่ำ และไม่มีพนักงานที่เป็นผู้เชี่ยวชาญทางด้านไอทีประจำ

RODC เริ่มมีครั้งแรกใน Windows Server 2008 และได้รับการพัฒนาใ้ห้ดีขึ้นใน Windows Server 2008 R2 โดย RODC นั้นมีการทำงานแบบ Unidirectional replication คือเป็นเซิร์ฟเวอร์ที่ทำหน้าที่รับข้อมูลจากเซิร์ฟเวอร์ DC ทางเดียวทำให้มีความปลอดภัยและประหยัดแบนด์วิดท์ เหมาะสำหรับการใช้งานในสำนักงานสาขาที่ไม่มีแอดมินคอยดูแลเป็นการเฉพาะและมีระบบรักษาความปลอดภัยทางกายภาพต่ำ

RODC นั้นจะเก็บบัญชีผู้ใช้ (user accounts) และแอททริบิวต์ต่างๆ เหมือนกับ DC ธรรมดายกเว้นรหัสผ่านและแอททริบิวต์บางตัวที่ถูกกรองไว้ ไคลเอ็นต์จะไม่สามารถบันทึกการเปลี่ยนแปลงบน RODC ได้

สำหรับแอททริบิวต์ที่ถูกกรองโดยดีฟอลท์ได้แก่
• ms-PKI-DPAPIMasterKeys
• ms-PKI-AccountCredentials
• ms-PKI-RoamingTimeStamp
• ms-FVE-KeyPackage
• ms-FVE-RecoveryInformation
• ms-FVE-RecoveryPassword
• ms-TPM-OwnerInformation

โดยแบบจำลองของ RODC ในสภาพแวดล้อมของสำนักงานสาขามีลักษณะดังนี้

Credit:Microsoft

ข้อควรทราบเกี่ยวกับ RODC
เมื่อทำการติดตั้งเซิร์ฟเวอร์ Windows Server 2008 หรือ Windows Server 2008 R2 เป็น RODC จะไม่สามารถเปลี่ยนเป็น DC ที่สามารถเขียนได้ หรือกลับกัน หากต้องการเปลี่ยนจาก RODC จะไม่สามารถเปลี่ยนเป็น DC ที่สามารถเขียนได้ หรือกลับกัน จะต้องทำการดีโมทก่อนจากนั้นจึงทำการโปรโมทไปเป็น DC ที่สามารถเขียนได้ หรือกลับกัน

แหล่งข้อมูลอ้างอิง
Microsoft Technet

© 2010 TWA Blog. All Rights Reserved.

0 Comment: