Контроллеры доменов с доступом только для чтения (RODC)
Подобно концепции кэшированных данных о членстве в универсальных группах, контроллеры доменов с доступом только для чтения (Read-Only Domain Controller — RODC) являются одной из новых функциональных возможностей Active Directory Domain Services в Windows Server 2008 R2. Серверы RODC представляет собой контроллеры домена нового типа, на которых размещаются доступные только чтения копии базы данных домена Active Directory. Такие серверы идеально подходят для филиалов и других мест, где нельзя гарантировать 100% физическую безопасность сервера, где чрезмерная активность на каналах глобальной сети может негативно сказываться на продуктивности или где требуется, чтобы на контроллере домена запускались какие-то другие приложения и чтобы за их обслуживание отвечали внештатные специалисты или сотрудники с недостаточной базой технических знаний. К числу преимуществ, которые предоставляют серверы RODC, относится обеспечение доступа только для чтения к базе данных Active Directory Domain Services, проведение репликации только во входящем направлении, помещение учетных данных в кэш, разделение ролей администраторов и поддержка доступной только для чтения копии DNS.
Хотя сервер RODC и может реплицировать данные с контроллеров домена Windows Server 2003, он выполняет репликацию только обновлений разделов с контроллеров домена, функционирующих в том же домене под управлением Windows Server 2008 или Windows Server 2008 R2. Из-за отсутствия возможности выполнять репликацию в исходящем направлении, серверы RODC не могут выступать в роли исходного контроллера домена ни для каких других контроллеров домена. В отличие от них, поддерживающие доступ для записи контроллеры домена Windows Server 2008 R2 и контроллеры домена Windows Server 2008 могут проводить репликацию данных всех доступных разделов как во входящем, так и в исходящем направлении. Это значит, что продумывать для них те же связанные с размещением моменты, что и для серверов RODC, не понадобится.
Поскольку сервер RODC может осуществлять репликацию данных раздела домена только с поддерживающего доступ для записи контроллера домена Windows Server 2008 R2 или Windows Server 2008, тщательное планирование для него является обязательным. Место размещения сервера RODC и поддерживающих доступ для записи контроллеров домена Windows Server 2008 R2 играет важную роль, поскольку топология сайта и сетевые ограничения могут крайне негативно влиять на их работу. Каждый сервер RODC требует размещения одного поддерживающего доступ для записи контроллера домена Windows Server 2008 R2 внутри того же домена, из которого он будет напрямую проводить репликацию. Это, в свою очередь, требует размещения поддерживающего доступ для записи контроллера домена Windows Server 2008 R2 внутри ближайшего сайта, обладающего прямым каналом связи с тем сайтом в топологии, внутри которого размещен RODC.