单向复制
因为没有任何属性的变化会被直接写入RODC,所以任何变化不会从RODC发起。因此,作为复制伙伴的可写域控制器不会产生从RODC“拉”数据的操作。这意味着恶意用户在分支结构的RODC上进行的操作的结果不会被复制到森林的剩余部分。这也减少了枢纽站点里的桥头服务器的工作量以及为了监视复制所要求的工作量。RODC的单向复制同时应用于AD DS及分布式文件系统(DFS)的复制。RODC为AD DS及DFS执行正常的入站复制。
凭据缓存
凭据缓存是用户或者计算机凭据的储存器。凭据是由和安全主体关联的一小组大约接近10个密码的集合所组成。在默认情况下RODC不储存用户或者计算机凭据。例外的情况是RODC自身的计算机账户以及每台RODC所有的特殊的krbtgt账户。你在RODC上必须显示允许其它任何凭据缓存。
RODC宣告成为分支结构的密钥分配中心(KDC)。RODC与可写域控制器上的KDC相比,它将使用不同的krgbrt账户和密码来签名或加密(TGT)请求。
当一个账户被成功验证时,RODC会试图联系枢纽站点中一台可写的的域控制器,并请求一份合适凭据的副本。可写域控制器将会识别出这个请求来自RODC,并考略影响到RODC的密码复制策略。
密码复制策略决定了用户或者计算机的凭据是否可以从可写域控制器复制到RODC。如果策略允许,那么可写域控制器将密码复制到RODC上,并且RODC缓存这些凭据。
当凭据被RODC缓存之后,RODC能够直接为用户登录请求服务直到凭据发生变化。(当TGT被RODC的krbtgt账户签名时,RODC识别出它有一份缓存的凭据副本。如果其它域控制器对TGT进行了签名,那么RODC将会把这个请求转递给一台可写域控制器。)
因为凭据缓存被限制为只有被RODC认证的用户的凭据才能被缓存,所以由于RODC受到威胁而导致的潜在的凭据泄露也得到了限制。因此,域用户中只有很少一部分的凭据被缓存在RODC上。因此,当发生RODC被盗的事件时,只有这些被缓存的凭据才有可能被破解。
保持凭据缓存关闭也许能更深层次的限制泄露,但是这样将导致所有的认证请求都被传递给可写域控制器。管理员能够修改默认密码策略来允许用户凭据被缓存到RODC上。
管理员角色分割
你能委派RODC的本地管理权限至任何域用户而不用使该用户获得域或者域控制器的用户权限。这使分支机构的用户能够登录至RODC并执行诸如升级驱动程序之类的维护工作。然而分支结构用户无法登录到其它任何域控制器或者在域中执行其它管理工作。因此分支结构用户能够委派有效的权利来管理分支机构的RODC而不会威胁到域内其它部分的安全。
只读DNS
你能在RODC上安装DNS服务。RODC能够复制DNS使用的所有程序目录分区,包括ForestDNSZones以及DomainDNSZones。如果DNS服务被安装到RODC上,用户能够像查询其它DNS服务器一样进行名称解析。
然而,在RODC上的DNS服务不支持客户端直接更新。因为RODC不登记它所拥有任何的AD集成区域的NS资源记录。当客户端试图在RODC上尝试更新DNS记录时,服务器会返回包含支持客户端更新的DNS服务器的引用。随后,客户端能够尝试利用引用中提供的DNS服务器进行DNS记录更新。而在后台,RODC上的DNS服务器会尝试从更新的DNS服务器中复制已更新的记录。复制请求仅针对单一对象(DNS记录)。整个变化区域的列表或者域数据在特定的“复制单一对象”的请求过程中将不被复制。
更多内容请看域服务器专题,或进入讨论组讨论。
相关专题
- 域服务器 (85篇文章)
- Windows中IIS内FTP服务器高级配置 (121次浏览)
- eMule电驴“代理服务器”的作用讲解 (73次浏览)
- 妙招可循,让IIS管理更加高效 (46次浏览)
- FreeBSD 6.2快速架设网站服务器教程 (36次浏览)
- 轻量级Web服务器 (34次浏览)
- Exchange 命令行管理程序入门 (33次浏览)
- 整合apache tomcat服务器 (26次浏览)
- 备份和还原Exchange 2007邮箱存储组 (26次浏览)
- IIS排错指南及错误代码大全 (26次浏览)
- 统计分析apache服务器日志 (24次浏览)
