Win2008 R2域控制器:仔细规划RODC

预先规划

在开始任何正式的 RODC 规划之前，您应进行必要的尽职操作和基本的 AD DS 预先规划。具体应该包括一些关键任务，例如验证现有的 AD DS 逻辑结构，确保管理模型和 AD DS 物理结构支持现有的业务和技术要求。您还必须考虑硬件要求、软件升级策略以及适用的操作系统已知问题，以及评估 RODC AD DS 先决条件。这些信息对规划和部署过程非常关键。您可发现详细部署检查表中对此有很好的说明。

安装和管理

RODC 中有一种重要的可管理性功能，称为管理员角色分离 (ARS)。此功能可向非服务管理员委托安装和管理 RODC 服务器的能力，无需授予 Active Directory 权限。这是对与 DC 服务器设计、管理委托和部署过程相关的传统注意事项的重大改变。这种角色分离对于需要在 DC 上进行直接安装的关键应用程序或承载单一多用途服务器的位置变得越来越重要。

其他服务器角色

一般而言，您应清除服务器中 RODC 运行不需要的所有角色。因此，您只应向 RODC 增加的角色是 DNS 和全局编录服务器角色。应当在每个 RODC 上安装 DNS 服务器角色，以便与可写 DC 的网络连接不可用时，本地 DNS 客户端可以执行 DNS 解析。但是，如果未通过 Dcpromo.exe 安装 DNS 服务器角色，必须在以后安装它。您必须使用 Dnscmd.exe 使 RODC 参与到承载 Active Directory 集成区域的 DNS 应用程序目录分区中。您还应将 RODC 配置为全局编录服务器，使其可仅使用 RODC 执行身份验证和全局编录查询。从身份验证角度来看，如果全局编录角色不可选，则可以使用通用组缓存。对 RODC 成功进行身份验证最终可能取决于 RODC 的 PRP 配置。

RODC 布置

由于引入了 RODC PRP，DC 布置发生了显著改变。RODC 必须能够从同一个域中运行 Windows Server 2008 或 Windows Server 2008 R2 的可写 DC 复制域分区，因为只有这些 DC 可以为 RODC 执行 PRP。为确保正确复制，对于可写 DC 应放置到的 AD DS 站点，该站点应具有指向包含 RODC 的站点的最低成本站点链接。

如果您无法建立此配置，则 RODC 复制将需要依赖于“为所有站点链接搭桥”选项(即站点链接可传递性)，或包含 RODC 站点和可写 DC 站点的任何站点链接之间的站点链接桥。如果站点可传递性或站点链接桥不是可选项，则可以新建站点链接来直接连接 RODC 站点与可写 DC 站点。

作为一般最佳实践，不应在同一 AD DS 站点中布置其他 DC 作为 RODC，因为客户端操作可能变得不一致，使客户端行为不可预测。身份验证、LDAP 读写和密码更改等基本操作可能都表现出不同的行为，具体取决于不同的 RODC 配置、可写 DC 的 Windows 版本，以及其他可写 DC 的网络连接性是否可用。您还应保留 RODC 站点中单个域的所有用户和资源。RODC 不存储信任密码，需要跨域授权将身份验证请求转发到每个域中不同的可写 DC。假设可写 DC 位于不同站点，所有跨域身份验证请求将依赖网络连接性，在网络连接发生故障的情况下将不能工作。