Win2008 R2域控制器:仔细规划RODC

可伸缩性和复制

RODC 也具备可伸缩性优点，这些优点对于实现更大或更复杂的 AD DS 十分有用。例如，RODC 提供单向复制。因此，在分支机构中部署 RODC 可降低中心站点桥头服务器上的性能负载，这些服务器通常处理分支机构 DC 的入站复制。从总体拥有成本角度来看，这将减少您需要创建和管理的连接对象数量。这也会减少所需中心站点 DC 的数量。

RODC 也将改善负载平衡，有助于在中心站点桥头服务器中均匀分配出站连接对象。对于早期版本的 Windows，这需要例行手动干预。现在，当 RODC 上的知识一致性检查器 (KCC) 检测到中心站点中添加或删除了桥头服务器时，它会决定是否将复制合作伙伴切换到新的桥头。它通过运行算法和可能性负载平衡达到此目的。如果在分支机构中添加了 RODC，则 KCC 也将在现有中心站点桥头服务器中平衡入站连接。

凭据缓存

RODC 的 PRP 确定是否可在该特定 RODC 上缓存帐户。默认情况下，PRP 中的“许可”列表指定您无法缓存任何帐户密码。此外，它也会明确拒绝缓存某些帐户。这种情况比手动配置的“许可”配置具有更高优先级。如前所述，您可能需要在每个 RODC 上配置 PRP，以允许对帐户的密码进行缓存。

由于 PRP 修改对安全性和服务可用性均会产生影响，因此请谨慎执行此步骤。例如，对于不缓存任何帐户的默认方案，其具备较高安全性，但如果与可写 DC 的网络连接变得不可用，则不能进行脱机访问。相反，当大量帐户可缓存时(例如域用户组)，如果 RODC 遭到破坏，安全性就会大大降低，但是可缓存帐户具有更高级别的服务可用性。由于各种基础结构环境具有独特的业务和技术要求，PRP 设计也会因组织而异。

一旦建立 PRP 模型，您就必须在每个 RODC 上配置 PRP，以便您可以缓存相应帐户。最佳实践是以明确许可来配置 PRP，而不修改默认拒绝列表。拒绝列表十分关键，因为它可禁止在 RODC 上缓存关键帐户凭据(例如 AD DS 服务管理员)。

PRP 设计的另一个关键方面是确定是否将使用密码预填充可缓存帐户。默认情况下，只有当身份验证请求已转发给 Windows Server 2008 或 Windows Server 2008 R2 可写 DC，并且凭据已复制到 RODC 时，在初次登录到 RODC 之后，可缓存帐户的凭据实际上才会被缓存。这意味着在针对 RODC 验证可缓存帐户的身份前，如果与可写 DC 的网络连接变得不可用，即使将帐户配置为可缓存，也将无法成功登录。

要解决此问题，只要一配置 PRP 并且将帐户标记为可缓存，您就可以手动预先填充密码缓存。此操作也需要 Windows Server 2008 或 Windows Server 2008 R2 可写 DC 与 RODC 之间具有网络连接。在部署过程中，您可以在可缓存用户首次登录以前提前完成此操作。

您可以使用这一基本体系架构设计指南作为您的 RODC 规划的基础。本文通过介绍关键设计注意事项，为设计详细和综合性 RODC 解决方案提供了一个有效出发点。这不是一个简单的过程，需要大量时间针对您组织的独特环境和要求来协调新功能和设计注意事项。