úvod
V systéme Windows Server 2008 sa spoločnosť Microsoft rozhodla vrátiť funkciu, ktorú sme nevideli od systému Windows NT: jedná sa o technológiu radiča domény iba na čítanie. V tomto článku sa budem venovať technológii radičov domény iba na čítanie a jej výhodám. Túto technológiu som spomenul vo svojich článkoch viackrát, napríklad v článku o používaní nástroja adprep v systéme Windows 2008.
Dobrým príkladom cyklickej povahy vývoja technológií IT je nová funkcia systému Windows Server 2008 s názvom Radič domén iba na čítanie alebo RODC. Koniec koncov, táto technológia sa prvýkrát objavila už dávno, ale za posledných 10 rokov sa prakticky nepoužila.
Windows NT bol prvým serverovým operačným systémom od spoločnosti Microsoft. Rovnako ako moderné operačné systémy Windows Server, aj Windows NT plne podporovala doménovú technológiu. Jedným rozdielom bola skutočnosť, že v každej doméne bolo možné zapísať iba jeden radič domény. Tento radič domény, nazývaný primárny radič domény alebo PDC, bol jediným radičom domény, v ktorom mohol správca vykonať zmeny. Primárny radič domény potom poslal aktualizácie ďalším radičom domény v doméne. Tieto radiče domény sa nazývali záložné radiče domény (BDC) a informácie o nich sa aktualizovali až po aktualizácii hlavného radiča domény, pre klientov domény boli iba na čítanie.
Aj keď bol tento doménový model plne funkčný, mal aj značné nevýhody. Problémy s hlavným radičom domény môžu paralyzovať celú doménu. Ako viete, spoločnosť Microsoft vykonala významné zmeny v modeli domény, ktorý implementovali do svojho nového operačného systému servera Windows 2000 Server. V systéme Windows 2000 Server sa objavili dve nové technológie pre radiče domén a obe tieto inovácie sa používajú dodnes: sú to Active Directory a model s niekoľkými hlavnými radičmi (model s viacerými mastermi).
A hoci úloha PDC stále zostala, ostatné radiče domény v konfigurácii s viacerými hlavnými procesormi boli zapisovateľné. To znamená, že správca môže vykonať zmeny na ľubovoľnom radiči domény a tieto zmeny vo forme aktualizácií budú nakoniec distribuované všetkým ostatným radičom domény v sieti..
Potom bol model multi-master uložený v systéme Windows Server 2003 aj Windows Server 2008. Avšak v systéme Windows Server 2008 bolo možné vytvoriť radiče domény iba na čítanie. RODC je radič domény, v ktorom informácie nemôžu priamo zmeniť ani správcovia. Jediným spôsobom, ako aktualizovať tieto radiče domény, je použiť zmeny na PDC, a potom sa tieto zmeny musia šíriť (replikovať) do RODC. Nič nepripomína?
Ako vidíte, RODC nie sú ničím iným než len pamiatkou časov Windows NT. Microsoft, samozrejme, nevráti technológiu RODC, ak v ich aplikácii nevidí významné výhody..
Pred vysvetlením, prečo sa spoločnosť Microsoft rozhodla vrátiť sa k službe RODC, mi dovoľte vysvetliť, prečo používanie služby RODC nie je nevyhnutným predpokladom pre prácu s doménami služby Active Directory na serveri 2008 Server. Ak chcete, aby bol každý radič domény vo vašej doménovej štruktúre zapisovateľný, určite to môžete urobiť.
Chcel by som v krátkosti spomenúť, že hoci sú RODC veľmi podobné záložným radičom domén (BDC) v NT, prešli mnohými zmenami. V technológii RODC je niekoľko vecí a ja o nich chcem hovoriť.
Prečo sa Microsoft rozhodol vrátiť RODC? Je to kvôli problémom s podporou pobočkovej siete (divízie a pobočky). Pobočky sa tradične pomerne ťažko udržiavajú a udržiavajú z dôvodu svojej odľahlosti a komunikačných vlastností medzi ústredím a pobočkou.
Tradične sa používalo niekoľko rôznych metód riadenia pobočiek, ale každá z nich mala svoje výhody a nevýhody. Jedným z najbežnejších spôsobov organizácie pobočkovej siete je inštalácia všetkých serverov v centrále a poskytnutie prístupu k nim používateľom pobočky prostredníctvom globálnej siete (WAN)..
Najviditeľnejšou nevýhodou tejto metódy je, samozrejme, že ak je kanál WAN nestabilný alebo spadol, potom používatelia vo vetve nemôžu normálne pracovať, pretože sú úplne odrezané od všetkých zdrojov ústredia. Aj keď je sieťové spojenie s ústredím stabilné, výkon pripojenia WAN môže byť často nízky v dôsledku zaťaženia kanála alebo priamo rýchlosti pripojenia
Ďalšou bežnou možnosťou pri práci so vzdialenými vetvami je prístup, ktorý zahŕňa inštaláciu najmenej jedného radiča domény do vetvy. Tento radič domény často tiež funguje ako server DNS a server globálneho katalógu. Teda, aj keď je spojenie WAN odpojené, majú užívatelia v pobočke prinajmenšom možnosť vstúpiť do siete. V závislosti od charakteru práce organizácie môžu byť v pobočke nainštalované ďalšie servery.
Aj keď toto riešenie spravidla funguje dobre, má niekoľko nevýhod. Hlavnou nevýhodou sú náklady. Hosting serverov v pobočkách vyžaduje, aby podnik investoval do licencií hardvéru a softvéru servera. Výrazne zvýšené náklady na podporu. Organizácia musí určiť, či pobočka potrebuje zamestnancov svojich vlastných IT špecialistov, alebo v prípade porúch je pripravená čakať, až sa IT pracovníci z ústredia dostanú k pobočke..
Ďalším nuansom pri inštalácii vlastných serverov v odbore je problém so zabezpečením. Podľa mojich skúseností sú časté prípady, keď servery umiestnené mimo centrálneho dátového centra zostali bez dozoru. Servery sú často jednoducho zamknuté v skrinke pomocou kľúča!
Ako som už spomenul, pripojenia WAN sú často pomalé a nespoľahlivé. Toto je ďalší problém s umiestnením serverov vo vetve. Prevádzka replikácie radiča domény môže takéto pripojenie výrazne načítať
To je presne ten prípad, keď môžete použiť RODC. Umiestnenie RODC do vetvy úplne nevylučuje replikačný prenos služby Active Directory, ale výrazne znižuje zaťaženie servera predmostí, pretože dostanú iba prichádzajúci prenos replikácie.
RODC môžu tiež pomôcť zlepšiť bezpečnosť, pretože zamestnanci v pobočke nebudú môcť vykonávať zmeny v databáze Active Directory. Okrem toho sa do RODC neprenášajú žiadne informácie o všetkých používateľoch domény a ich účtoch. To znamená, že ak niekto ukradne server RODC, nebude môcť použiť informácie získané v dôsledku porušenia používateľských hesiel..
V budúcich článkoch v tejto sérii sa budeme venovať procesu plánovania a nasadenia radičov domény, ktoré sú určené len na čítanie..
Odkazy na všetky články v tejto sérii:
Práca s radičmi domény len na čítanie (RODC) (časť 1)
Práca s radičom domény len na čítanie (časť 2)
Práca s radičom domény len na čítanie (3. časť)
