Контроллеры доменов с доступом только для чтения (RODC)

Подобно концепции кэшированных данных о членстве в универсальных группах, кон­троллеры доменов с доступом только для чтения (Read-Only Domain Controller — RODC) являются одной из новых функциональных возможностей Active Directory Domain Services в Windows Server 2008 R2. Серверы RODC представляет собой контроллеры домена нового типа, на которых размещаются доступные только чтения копии базы данных домена Active Directory. Такие серверы идеально подходят для филиалов и других мест, где нельзя гарантировать 100% физическую безопасность сервера, где чрезмерная активность на каналах глобальной сети может негативно сказываться на продуктивности или где требуется, чтобы на контроллере домена запускались какие-то другие приложения и чтобы за их обслуживание отвечали внештатные специалисты или сотрудники с недоста­точной базой технических знаний. К числу преимуществ, которые предоставляют серверы RODC, относится обеспечение доступа только для чтения к базе данных Active Directory Domain Services, проведение репликации только во входящем направлении, помещение учетных данных в кэш, разделение ролей администраторов и поддержка доступной только для чтения копии DNS.

Хотя сервер RODC и может реплицировать данные с контроллеров домена Windows Server 2003, он выполняет репликацию только обновлений разделов с контроллеров доме­на, функционирующих в том же домене под управлением Windows Server 2008 или Windows Server 2008 R2. Из-за отсутствия возможности выполнять репликацию в исходящем направ­лении, серверы RODC не могут выступать в роли исходного контроллера домена ни для каких других контроллеров домена. В отличие от них, поддерживающие доступ для записи контроллеры домена Windows Server 2008 R2 и контроллеры домена Windows Server 2008 могут проводить репликацию данных всех доступных разделов как во входящем, так и в исходящем направлении. Это значит, что продумывать для них те же связанные с размеще­нием моменты, что и для серверов RODC, не понадобится.

Поскольку сервер RODC может осуществлять репликацию данных раздела домена толь­ко с поддерживающего доступ для записи контроллера домена Windows Server 2008 R2 или Windows Server 2008, тщательное планирование для него является обязательным. Место размещения сервера RODC и поддерживающих доступ для записи контроллеров домена Windows Server 2008 R2 играет важную роль, поскольку топология сайта и сетевые огра­ничения могут крайне негативно влиять на их работу. Каждый сервер RODC требует раз­мещения одного поддерживающего доступ для записи контроллера домена Windows Server 2008 R2 внутри того же домена, из которого он будет напрямую проводить репликацию. Это, в свою очередь, требует размещения поддерживающего доступ для записи контролле­ра домена Windows Server 2008 R2 внутри ближайшего сайта, обладающего прямым кана­лом связи с тем сайтом в топологии, внутри которого размещен RODC.