実際に役立つ読み取り専用ドメインコントローラーは何ですか？

Windows Server 2008では、読み取り専用ドメインコントローラーが導入されました。これは、古き良きWindows NT BDCのように、ドメインデータベースの完全なレプリカを受け取りますが、それを変更することはできません。

私はそれらのセミDCを実行する方法のすべての技術的な面を知っていますが（70-646と70-647に合格しました）、それでも私はすべての最も重要な質問に対する明確な答えを持っていません：なぜあなたはそれらを使用しますか？

TheCleanerからのこのコメントは本当に私にとってそれを要約しています：

@マシモ-はい、あなたは正しいです。UはRODCの説得力のある理由を探していますが、それはありません。ブランチオフィスのセキュリティを緩和するためのいくつかの追加のセキュリティ機能があり、実際にそこにDCがなく、そのセキュリティについて熟知している場合にのみ実際に展開する必要があります。

それは私が考えていたのと同じでした...セキュリティの少しの増加、はい、確かに、しかし間違いなく面倒の価値があるほどではありません。

実世界のシナリオを紹介します。

• 中国の支社に1つあります

そこにIT部門がなく、ADアカウントなどのすべてのリクエストをここアメリカで処理するために使用します。RODCを使用することで、次のことがわかります。

1. そこに誰もログオンして、ADで「ハッキング」を試みることはできません。
2. 誰もそれを盗んで価値のあるものを手に入れて、後でネットワークに戻って「ハッキング」することはできません。

AD / DNSを読み取り専用にすることで、そこでDC上のデータを操作しようとすることを心配する必要がなくなります。

これは、http：//technet.microsoft.com/en-us/library/cc732801%28WS.10%29.aspxにある機能が原因です。

それは私たちにとって何よりも「心の平穏」です...さらに、RODCロールがインストールされたサーバーコアであるため、非常に最小限のサーバーインストールが可能になりました。2台のRaid-1 18GBドライブを搭載した古い1Uサーバーに配置しました。実際にそれらの2つを...ラックにある古い非保証ハードウェアを使用して同じ正確な構成に配置しました。

シンプルで、必要なことを行います。心配する必要はありません。いずれかのボックスに障害が発生した場合、単純に交換します。

私の本（www.briandesmond.com/ad4/）には、この機能に関する章全体があります。長所と短所は、これがセキュリティ機能であり、分散組織にとっては非常に大きな問題であるということです。

ここには2つの非常に大きなシナリオがあります。

-> RODCはデフォルトでパスワードを保存しません。これは、誰かがサーバーからディスクを物理的に入手しても、ユーザー（およびコンピューター）のパスワードをすべて入手できないことを意味します。

誰かがRWDCを盗んだ場合の正しい対応は、ドメイン内のすべてのパスワードをリセットすることです。それらはすべて侵害されているとみなすことができるためです。これは大きな仕事です。

RODCでは、ユーザーとコンピューターのサブセットXのパスワードのみをキャッシュできます。RODCが実際にパスワードをキャッシュすると、その情報がADに保存されます。RODCが盗まれた場合、リセットする必要があるパスワードの小さなリストがあります。

-> RODCは一方向で複製します。誰かがあなたのRWDCを盗み、それに何らかの変更を加え、再びプラグインした場合、それらの変更は環境に複製されます。たとえば、ドメイン管理者グループに自分自身を追加したり、すべての管理者パスワードなどをリセットしたりできます。RODCでは、これはまったく不可能です。

以前にDCがなかった場所にRODCを配置しない限り、速度の改善はありません。その後、いくつかのシナリオで速度が向上する可能性があります。

TheCleanerの返信は本当に間違っています。RODCには多くの説得力のあるシナリオがありますが、RODCのいくつかの展開を即座にスケールすることを考えることができます。これは単純なセキュリティに関するものであり、「セキュリティに関する問題」ではありません。

おかげで、

ブライアン・デズモンド

Active Directory MVP

物理的なセキュリティが低い、またはネットワーク接続が低速または信頼性の低いブランチオフィスが多数ある場合、RODCが必要です。例：

• 頻繁に移動し、接続にDSL /ケーブルを使用する中央オフィスと店頭クリニックを備えた医療プロバイダー
• 電話会社のインフラストラクチャが信頼できない、または携帯電話または衛星ネットワークを使用せざるを得ない遠隔地に施設を持つ会社。

ほとんどの組織には、リモート機器の物理的なセキュリティ基準があります。これらの要件を満たせない場合、RODCを使用すると、ローカルアプリケーションおよびファイル共有へのアクセスに高速認証を提供できます。また、サーバーに保存される資格情報の数を制限することもできます。侵害されたサーバーは、リモートロケーションのユーザーのみを侵害します。75,000人のユーザーを持つ完全なDCは、ローカルでの侵害が発生した場合にそれらのすべてのユーザーを公開します。

あなたが小さな会社で働いているなら、大したことではありません。RODCによりセキュリティリスクが大幅に軽減されるため、BitLockerを使用してそれらを展開するようになりました。

このTechNetの記事に基づいて、DMZでRODCを使用します。DMZでRODCを使用してWebサービス用の新しいフォレストをセットアップします。

主にセキュリティのためだけでなく、速度のためにも。

ここに短い文章を参照してください

RODCにはADの読み取り専用コピーが含まれており、ITスタッフがいないブランチオフィスで使用するため、サーバールームのセキュリティまたは整合性を保証できません。RODCが危険にさらされた場合、危険にさらされた人はだれでも発見時の状態でのみADにアクセスできるという知識で安全です。それに加えられた変更は、メインDCに複製されません。つまり、それを侵害した人は誰でもDomain Adminに昇格し、自分の管理者をロックアウトし、ネットワーク全体で邪悪な方法をとることなど、厄介なことはできません。

RODCは大規模な企業組織に役立ちます。NovelleDirectoryのような競合する企業ディレクトリサービスには、長年読み取り専用レプリカがありました。

RODCのもう1つの利点は、いくつかの障害回復を実行している間にドメインコントローラーが機能することです。これには、すべての通常のドメインコントローラーを停止してActive Directoryを再構築することが含まれます。このような状況では、RODCをオフにする必要はありません。