Работа с контроллерами доменов, доступными только для чтения (часть 1)

В Windows Server 2008 компания Microsoft вернула функцию, которая отсутствовала в продуктах с времен Windows NT: контроллеры домена - только чтение (Read Only Domain Controllers). В этой статье я объясню, почему это было сделано, а также расскажу о преимуществах использования таких контроллеров домена.

Я очень редко смотрю телевидение, но когда я сел писать эту статью, я не мог не вспомнить эпизод из 30 Rock, который видел недавно. В этом эпизоде, главный персонаж шоу, Лиз Лемон, встречалась с парнем, который был единственным жителем Нью Йорка, все еще торговавшим пейджерами. Когда Лиз сказала ему, что никто уже не использует пейджеры, так как у всех есть сотовые телефоны, он утверждал, что технология циклична, и что пейджеры ждет великое возвращение.

Хотя эта реплика должна была быть комической, я считаю, что технологии в большей степени цикличны, чем многие из нас думают. Например, я не считаю, что пейджеры когда-либо вернуться, но разве функции СМС в сотовых телефонах сильно отличаются от тех текстовых пейджеров, которыми мы пользовались лет пятнадцать назад?

Возможно более удачным примером цикличности некоторых технологий будет новый тип контроллеров домена, включенный в Windows Server 2008, которые называется Контроллер домена, доступный только для чтения (Read Only Domain Controller или RODC). Причина, по которой я говорю, что это пример цикличности технологии, заключается в том, что в определенном роде RODC не использовались на протяжении более десяти лет.

Windows NT была первой серверной ОС от компании Microsoft. Как и современные ОС Windows Server, система Windows NT полностью поддерживала использование доменов. Разница, однако, заключалась в том, что только один контроллер в каждом домене был доступен для записи. Этот контроллер домена, известный как Основной контроллер домена (Primary Domain Controller или PDC), был единственным контроллером домена, на который администратор мог записывать информацию. Основной контроллер домена затем мог передавать обновления на другие контроллеры в домене. Эти контроллеры домена назывались резервными контроллерами домена, и были доступны только для чтения в том смысле, что их можно было обновлять только через основной контроллер.

Хотя такая модель домена работала, она имели свои слабые стороны. Самой важной слабостью такой модели было то, что проблема с основным контроллером домена могла повреждать весь домен. Как вы, вероятно, знаете, компания Microsoft внесла значительные изменения в эту модель домена, когда выпустила Windows 2000 Server. Windows 2000 Server представил две новые технологии для контроллеров домена, обе из которых до сих пор используются; служба каталогов Active Directory и модель домена с несколькими основными контроллерами.

Хотя до сих пор существует роль эмулятора PDC и несколько других специфичных ролей, в большей части каждый контроллер домена в такой модели доступен для записи. Это означает, что администратор может применить обновление на любой контроллер домена, и это обновление затем будет передано на все остальные контроллеры в домене.

Такая модель с несколькими основными контроллерами сохранилась в Windows Server 2003, и все еще используется в Windows Server 2008. Однако Windows Server 2008 также позволяет вам создавать контроллеры домена, доступные только для чтения. RODC – это контроллеры домена, на которых база данных Active Directory не может быть обновлена администратором напрямую. Единственный способ обновления таких контроллеров домена - это применение изменений на контроллере домена, доступном для записи, и последующая передача этих изменений на RODC. Звучит знакомо?

Как вы видите, RODC – это ни что иное, как пережиток времен Windows NT. В этом случае технология действительно циклична! Конечно, компания Microsoft не вернула бы RODC, если бы в этом не было своих положительных сторон.

Прежде чем приступить к объяснению того, почему компания Microsoft вернула RODC, позвольте мне пояснить, что использование RODC является абсолютно опциональным. Если вы хотите, чтобы все контроллеры домена в вашем лесу были доступны для записи, вы определенно можете это сделать.

Единственное, о чем я хотел быстро упомянуть, это то, что даже, несмотря на то, что RODC очень похожи на резервные контроллеры домена, использовавшиеся в Windows NT, они немного изменились. Есть несколько моментов, которые уникальны для RODC, и о них я расскажу позже.

Итак, почему же компания Microsoft решила вернуть RODC? Это связано с проблемами поддержки офисов филиалов. Офисы филиалов традиционно трудно поддерживать в силу их изоляции и природы подключения между головным офисом и офисами филиалов.

Традиционно существовало несколько вариантов управления офисами филиалов, но каждый из них имеет ряд своих достоинств и недостатков. Одним из наиболее распространенных способов работы с офисами филиалов является расположение всех серверов в головном офисе, и предоставление офисам филиалов подключения к этим серверам через WAN соединение.

Конечно, самым очевидным недостатком такого способа является то, что если соединение WAN обрывается, пользователи в офисах филиалов не смогут ничего сделать, так как они полностью отрезаны от всех ресурсов серверов. Но даже если WAN подключение функционирует, производительность может страдать, так как WAN подключения очень часто медленные и легко перегружаются.

Еще одним распространенным вариантом работы с офисами филиалов является расположение как минимум одного контроллера домена в таком офисе. Зачастую такие контроллеры доменов будут также действовать в качестве DNS серверов и серверов глобальных каталогов. В этом случае, если WAN подключение разрывается, пользователи в офисах филиалов, по крайней мере, смогут входить в сеть. В зависимости от характера работы, выполняемой сотрудниками в офисе филиала, там могут располагаться и другие серверы.

Хотя такое решение, как правило, отлично работает, у него тоже есть свои недостатки. Основным недостатком такого решения является его стоимость. Расположение серверов в филиалах требует от организации выделения денег на серверное аппаратное оборудование и все необходимые лицензии на ПО. Также не стоит забывать о затратах на поддержку. Организации необходимо определить, стоит ли им нанимать ИТ персонал для поддержки филиалов на полное время, или они могут обходиться персоналом частичной занятости.

Еще одной проблемой такого решения является безопасность. В моей практике встречались ситуации, когда серверам, расположенным за пределами центра данных, просто не уделяется должного внимания. Часто они просто запираются в шкафу филиала, и в этом случае приходится надеяться, что сотрудники, у которых есть ключ от шкафа, ничего не испортят в сервере.

Как я упоминал ранее, WAN подключения часто бывают низкоскоростными и ненадежными. В этом кроется еще одна проблема расположения серверов в филиалах. Трафик репликации контроллеров домена может перегружать такие подключения WAN.

Именно здесь на помощь приходят серверы RODC. RODC работают, как и любой другой контроллер домена за исключением того, что база данных Active Directory не записывается напрямую. Размещение RODC в офисе филиала не избавляет подключение от трафика репликации Active Directory, но оно снижает рабочую нагрузку серверов-плацдармов, поскольку разрешен только входящий трафик репликации.

RODC также может повышать уровень безопасности, так как люди в офисе филиала не смогут внести никаких изменений в базу данных Active Directory. Более того, никакие учетные данные не передаются на RODC. Это означает, что если кто-то украл RODC, он не сможет использовать полученную информацию в качестве средства для взлома пользовательских учетных записей. Тот факт, что информацию о пользовательских учетных записях не записывается на RODC, также снижает объем трафика репликации, проходящего через WAN подключение, но это также означает, что, с некоторыми исключениями, аутентификация пользователей, все же, предполагает доступность WAN соединения.

Заключение

Как вы видели, контроллеры домена, доступные только для чтения, имеют свое место. В следующей части мы начнем обсуждение планирования процесса установки RODC.