Freigeben über

Пакет совместимости для Windows Server 2003 и Windows XP, исправляющий проблемы при работе с контроллером домена только для чтения - Read Only Domain Controller (RODC)

  • Artikel

Рано или поздно это произойдет. Вы задумаетесь о том, чтобы повысить безопасность контроллеров домена установленных в филиалах. Постепенно дело дойдет до внедрения в филиальной инфраструктуре контроллеров домена только для чтения (RODC).  Маловероятно что под этот проект, вы разрушите все до основания и начнете переустанавливать все сервера и клиентские рабочие места. Революция не наш метод, да и бизнес не одобрит подобные проекты миграции, приводящие к простоям. :)

Поэтому скорее всего у вас RODC филиала будет работать в смешанной инфраструктуре. В ней будут не только Windows Vista и Windows Server 2008, но и Windows Server 2003 и Windows XP.

До тех пор пока клиентские системы Windows Server 2003 и Windows XP в филиальном офисе могут контактировать с контролленром домена доступном для записи все будет работать нормально.

Давайте представим себе ситуацию когда из соображения безопасности или экономии трафика, те же филиальные клиенты принуждены работать только с RODC и не имеют доступа к полноценнному контроллеру домена. На этом пути вас могут ждать некоторые неприятные сюрпризы. В связи с тем, что по умолчанию Windows Server 2003 и Windows XP не поддерживают все флаги и проверки необходимые для абсолютно правильной работы с RODC у вас могут случаться следующие сбои:

  • Фильтры Windows Management Instrumentation (WMI) сконфигурированные групповыми политкиками могут не применяться.
  • Политики Internet Protocol security (IPsec) не могут быть применены. В ответ на запрос получаем ошибку "8219 (ERROR_POLICY_OBJECT_NOT_FOUND)".
  • Члены домена Windows Server 2003 и Windows XP не производят синхронизацию времени с RODC Windows Server 2008.
  • Компьютеры находящиеся в сети DMZ не могут присоединиться к домену.
  • Смена пароля пользователя работающего в системах Windows 2000, Windows XP, или Windows Server 2003 может завершиться ошибкой.
  • Клиенты использующие Data Protection API (DPAPI) не могут получить или создать сертифика публичного ключа задействовав функции LsaRetrievePrivateData или LsaStorePrivateData.
  • Опубликованные принтеры могут работать некоректно.
  • При использовании диалогового окна "Find Printer" на клиентских компьютерах под управлением Windows 2000, Windows XP или Windows Server 2003 окно Find Printer может перестать отвечать на запросы.
  • API функции Active Directory Service Interfaces (ADSI)  клиентов Windows Server 2003 и Windows XP всегда посылают запросы к удаленному контролеру с возможностью записи вместо того, чтобы использовать локальный RODC. Это может приводить к лишних расходам трафика и задержкам при доступе к домену.
  • Контроллеры домена работающие под управлением Windows Server 2003 выполняют автоматическое покрытие сайтов филиальных офисов в которых уже установлен RODC. Контроллер домена Windows Server 2003 может зарегистрировать свой DNS SRV ресурс для сайта с установленым RODC. Таким могут перестать авторизовываться локальным RODC.

Для того чтобы исправить вышеперечисленные проблемы, ежели таковые у вас возникнут, необходимо ознакомиться с KB944043 и установить обновление для клиентских систем Windows XP, Windows Server 2003 .

Comments

  • Anonymous
    January 01, 2003
    Надеюсь это многим сэкономит время, которое иначе было бы потрачено на поиск причины ошибок. И существенно облегчит развертывание развертывание RODC.

  • Anonymous
    January 01, 2003
    Всех ошибок не утранит, но вещь полезная. Я просто поднимаю второй основной контроллер домена и настраиваю синхронизацию. (Иногда, зависит от условий, передаю роли леса, домена ... даю на разные сервера). А синхронизация настраивается своя в каждой конкретной ситуации. А вообще RODC вещь полезная и пришла на смену Backup Domain Controller (раньше были и PDC и BDC ... эх были времена ...)

  • Anonymous
    January 01, 2003
    При проектировании RODC выбрали подход при котором решили сделать чтобы все работало правильно, а не так как унаследовано. Меня удивляет другое. Почему пакет исправлений вышел только через полгода после выхода RTM Windows Server 2008. Функционал RODC уже в RTM был в законченом варианте и с тех пор не менялся.

  • Anonymous
    June 29, 2008
    большое спасибо.. познавательно

  • Anonymous
    June 30, 2008
    Ну хорошо, сейчас исправили. А чем при проектировании думали? Что уже нигде не осталось ХРшек, у всех Виста стоит? Идеалисты, блин!